Текущая версия на 14:14, 22 января 2014

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ)

Утвержден ФСТЭК России

«___» _________ 2013 г.

МЕТОДИЧЕСКИЙ ДОКУМЕНТ

МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

(ПРОЕКТ)

Версия 1.3

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» (далее – методический документ) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методический документ содержит состав, содержание, правила выбора и реализации организационных и технических мер защиты информации (далее – меры защиты информации), принимаемых в государственных информационных системах (далее – информационные системы) в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17.

В методическом документе не рассматриваются содержание, правила выбора и реализации мер защиты информации, связанных с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Принятие таких мер защиты информации обеспечивается в соответствии с законодательством Российской Федерации.

Методический документ предназначен для обладателей информации, заказчиков, заключивших государственный контракт на создание информационной системы (далее – заказчики), операторов информационных систем (далее – операторы), лиц, обрабатывающих информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее – уполномоченные лица), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации для проведения работ по созданию (проектированию) информационных систем в защищенном исполнении и (или) их систем защиты информации (далее – проектировщики).

Методический документ применяется для выбора и реализации в соответствии с пунктом 21 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, организационных и (или) технических мер защиты информации в информационных системах, направленных на исключение:

неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
неправомерного блокирования информации (обеспечение доступности информации).

Настоящий методический документ может применяться для защиты общедоступной информации, содержащейся в государственных информационных системах, для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также для защиты информации, содержащейся в негосударственных информационных системах.

По решению оператора персональных данных настоящий методический документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21.

2. ВЫБОР МЕР ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ РЕАЛИЗАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ В РАМКАХ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Выбор мер защиты информации для их реализации в информационной системе осуществляется в ходе проектирования системы защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.

Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями (далее – сети), режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

2.1. Классификация информационной системы по требованиям защиты информации

Определение класса защищенности информационной системы проводится в соответствии с пунктом 14.2 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.

Устанавливаются четыре класса защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)), определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – четвертый, самый высокий – первый. Класс защищенности информационной системы определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Класс защищенности (К) = [уровень значимости информации; масштаб системы].

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации:

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)],

где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности могут применяться методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Масштаб информационной системы определяется назначением и распределенностью сегментов информационной системы.

Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

При обработке персональных данных в информационной системе определение уровня значимости информации осуществляется с учетом требуемого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.

2.2 Определение угроз безопасности информации в информационной системе

Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности)

УБИ = [возможности нарушителя; уязвимости информационной системы; способ реализации угрозы; последствия от реализации угрозы].

При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, применяемые информационные технологии и особенности (условия) функционирования информационной системы.

Эффективность принимаемых мер защиты информации в информационной системе зависит от качества определения актуальных угроз безопасности информации для конкретной информационной системы в конкретных условиях ее функционирования.

Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации, актуальных для конкретной информационной системы или группы информационных систем в определенных условиях их функционирования. Модель угроз безопасности информации разрабатывается обладателем информации (оператором, проектировщиком) и должна соответствовать Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17.

Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разрабатываемые и утверждаемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

2.3 Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации

Меры защиты информации реализуются в информационной системе в рамках ее системы защиты информации в зависимости от класса защищенности информационной системы, актуальных угроз безопасности информации, структурно-функциональных характеристик информационной системы, применяемых информационных технологий и особенностей функционирования информационной системы.

В информационной системе применяются следующие меры защиты информации:

идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации;
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности информации;
целостность информационной системы и информации;
доступность информации;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств и систем связи и передачи данных.

Меры защиты информации, выбираемые для реализации в информационной системе, должны обеспечивать блокирование одной или совокупности нескольких актуальных угроз безопасности информации, включенных в модель угроз безопасности информации.

Содержание мер защиты информации для их реализации в информационных системах приведено в приложении №1 к настоящему методическому документу. Описание представленных в приложении №1 мер защиты информации приведено в разделе 3 настоящего методического документа.

Выбор мер защиты информации для их реализации в информационной системе включает:

определение базового набора мер защиты информации для установленного класса защищенности информационной системы;
адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы;
уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в модель

угроз безопасности информации;

дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.

Рисунок 1 – Общий порядок действий по выбору мер защиты информации для их реализации в информационной системе

При невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.

а) определение базового набора мер защиты информации

Определение базового набора мер защиты информации для установленного класса защищенности информационной системы является первым шагом в выборе мер защиты информации, подлежащих реализации в информационной системе. Определение базового набора мер защиты информации основывается на классе защищенности информационной системы, установленном в соответствии с пунктом 2.1 настоящего методического документа. В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, и приложением № 1 к настоящими методическому документу в качестве начального выбирается один из четырех базовых наборов мер защиты информации, соответствующий установленному классу защищенности информационной системы. Меры защиты информации, обозначенные знаком «+» в приложении № 1 включены в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы. Меры защиты информации, не обозначенные знаком «+», к базовому набору мер не относятся, и применяются при последующих действиях по адаптации, уточнению, дополнению мер защиты информации, а также разработке компенсирующих мер защиты информации.

Базовый набор мер защиты информации, выбранный в соответствии с классом защищенности информационной системы, подлежит реализации в соответствии с разделом 3 настоящего методического документа. Требования к реализации каждой меры защиты информации приведены в подразделах «требования к реализации мер защиты информации». Требования к реализации мер защиты информации, приведенные в разделе 3 настоящего методического документа, являются минимальными требованиями, выполнение которых должно быть обеспечено в информационной системе соответствующего класса защищенности, в случае если эта мера определена в качестве базовой (обозначена знаком «+») и не исключена на этапе адаптации базового набора мер защиты информации.

В зависимости от класса защищенности информационной системы минимальные требования к реализации базовых мер защиты информации могут быть усилены в соответствии с подразделами «требования к усилению меры защиты информации», приведенными в разделе 3 настоящего методического документа для каждой меры защиты информации. Усиления мер защиты информации, приведенные в подразделах «требования к усилению меры защиты информации» применяются дополнительно к требованиям по реализации мер защиты информации, приведенным в подразделах «требования к реализации мер защиты информации».

Содержание каждой базовой меры защиты информации, которое должно быть реализовано в информационной системе, приведено в таблице подраздела «содержание базовой меры защиты информации».

Усиления мер защиты информации, приведенные в подразделе «требования к усилению меры защиты информации», не включенные в таблицу с содержанием базовой меры защиты информации в подразделе «содержание базовой меры защиты информации», применяется по решению обладателя информации, заказчика и (или) оператора для повышения уровня защищенности информации, содержащейся в информационной системе, или при адаптации, уточнении, дополнении мер защиты информации, а также при разработке компенсирующих мер защиты информации.

б) адаптация базового набора мер защиты информации

Вторым шагом после определения базового состава мер защиты информации является изменение начально выбранного базового набора мер защиты информации в части его максимальной адаптации применительно к структуре, реализации и особенностям эксплуатации информационной системы.

При адаптации базового набора мер защиты информации учитываются:

цели и задачи защиты информации в информационной системе;
перечень мероприятий проводимых оператором по обеспечению безопасности в рамках организации в целом;
применяемые информационные технологии и структурно-функциональные характеристики информационной системы.

Адаптация базового набора мер защиты информации предусматривает исключение мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно- функциональными характеристиками, не свойственными информационной системе.

в) уточнение адаптированного базового набора мер защиты информации

Уточнение адаптированного базового набора мер защиты информации проводится с целью оценки возможности адаптированного базового набора мер защиты информации адекватно блокировать (нейтрализовать) все актуальные угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы.

Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень актуальных угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.

При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, из адаптированного базового набора мер защиты информации сопоставляется мера защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы. В случае, если адаптированный базовый набор мер защиты информации не обеспечивает перекрытие всех угроз безопасности информации в него дополнительно включаются меры защиты информации, приведенные в разделе 3 настоящего методического документа и приложении № 1 к нему. При этом содержание данной меры защиты информации определяется с учетом класса защищенности информационной системы и потенциала нарушителя.

г) дополнение уточненного адаптированного базового набора мер защиты информации

Дополнение уточненного адаптированного базового набора мер защиты информации осуществляется с целью выполнения требований о защите информации, установленных иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.

Дополнение уточненного адаптированного базового набора мер защиты информации может потребоваться в следующих случаях:

а) если федеральным законом, указом Президента Российской Федерации, постановлением Правительства Российской Федерации, нормативными актами органа государственной власти или органа местного самоуправления,

определяющими порядок создания и эксплуатации информационной системы, устанавливаются дополнительные требования к защите информации, выполнение которых не предусмотрено Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17;

б) политиками обеспечения информационной безопасности обладателя информации (заказчика), оператора и уполномоченного лица, разработанными по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства

обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», предъявлены дополнительные требования к защите информации в информационной системе.

При дополнении уточненного адаптированного базового набора мер защиты информации возможны следующие действия:

1) может быть обосновано, что меры защиты информации, включенные в уточненный адаптированный базовый набор мер защиты информации, достаточны для выполнения требования, установленного федеральным законом, указом Президента Российской Федерации, постановлением Правительства Российской Федерации, нормативными актами органа государственной власти или органа местного самоуправления. В этом случае дополнение уточненного адаптированного базового набора мер защиты информации не требуется;
2) могут быть усилены требования к некоторым мерам защиты информации, ранее включенным в уточненный адаптированный базовый набор мер защиты информации, и обоснована их достаточность для выполнения установленного нормативным правовым актом требования;
3) комбинированные варианты.

3. СОДЕРЖАНИЕ МЕР ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

3.1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА (ИАФ)

ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА

Требования к реализации ИАФ.1:

В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора.

При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.

К внутренним пользователям в целях настоящего документа, относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в информационной системе присвоены учетные записи.

В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.

Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД.11.

Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик или в случае многофакторной (двухфакторной) аутентификации – определенной комбинации вышеупомянутых и (или) других средств.

В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми им процессами.

Требования к усилению ИАФ.1:

1) в информационной системе должна обеспечиваться однозначная аутентификация пользователей на основе механизма пароля, соответствующего следующим характеристикам:
- а) длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней;
- б) длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней;
- в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней;
- г) длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней;
2) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для сетевого (с использованием сети связи общего пользования, в том числе сеть Интернет) доступа в систему с правами привилегированных учетных записей (администраторов);
3) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для сетевого (с использованием сети связи общего пользования, в том числе сеть Интернет) доступа в систему с правами непривилегированных учетных записей (пользователей);
4) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального (без использования информационно-телекоммуникационной сети) доступа в систему с правами привилегированных учетных записей (администраторов);
5) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального (без использования информационно-телекоммуникационной сети) доступа в систему с правами

непривилегированных учетных записей (пользователей);

6) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами привилегированных учетных записей (администраторов), где один из факторов

обеспечивается аппаратным устройством аутентификации, отделенным от информационной системы, к которой осуществляется доступ;

7) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов

обеспечивается устройством, отделенным от информационной системы, к которой осуществляется доступ;

8) в информационной системе должен использоваться механизм одноразовых паролей при аутентификации пользователей, осуществляющих сетевой доступ.

Содержание базовой меры ИАФ.1:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ИАФ.1	+	+	+	+
Усиление ИАФ.1	1а	1б	1в, 2, 3, 4	1г, 2, 3, 4, 5

ИАФ.2 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВ, В ТОМ ЧИСЛЕ СТАЦИОНАРНЫХ, МОБИЛЬНЫХ И ПОРТАТИВНЫХ

Требования к реализации ИАФ.2:

В информационной системе до начала информационного взаимодействия (передачи защищаемой информации от устройства к устройству) должна осуществляться однозначная идентификация и аутентификация устройств (технических средств).

Оператором должен быть определен перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации до начала информационного взаимодействия.

Идентификация устройств в информационной системе обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС- адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства.

Требования к усилению ИАФ.2:

1) в информационной системе должна обеспечиваться аутентификация устройств до начала информационного взаимодействия с ними:

а) взаимная аутентификация устройства и средства вычислительной техники (или другого взаимодействующего устройства);
б) аутентификация по уникальным встроенным средствам аутентификации.

Содержание базовой меры ИАФ.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.2 + +

Усиление ИАФ.2

ИАФ.3 УПРАВЛЕНИЕ ИДЕНТИФИКАТОРАМИ, В ТОМ ЧИСЛЕ СОЗДАНИЕ, ПРИСВОЕНИЕ, УНИЧТОЖЕНИЕ ИДЕНТИФИКАТОРОВ

Требования к реализации ИАФ.3:

Оператором должны быть установлены и реализованы следующие функции управления идентификаторами пользователей и устройств в информационной системе:

определение должностного лица (администратора) оператора, ответственного за создание, присвоение и уничтожение идентификаторов пользователей и устройств;
формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;
присвоение идентификатора пользователю и (или) устройству;
предотвращение повторного использования идентификатора пользователя и (или) устройства в течение установленного оператором периода времени;
блокирование идентификатора пользователя после установленного оператором времени неиспользования.

Требование к усилению ИАФ.3:

1) оператором должно быть исключено повторное использование идентификатора пользователя в течение:
- а) одного года;
- б) в течение трех лет;
2) оператором должно быть обеспечено блокирование идентификатора пользователя через период времени неиспользования:
- а) не более 90 дней;
- б) не более 45 дней;
3) оператором должно быть обеспечено использование идентификационной информации пользователя, введенной им при входе в информационную систему, для доступа к прикладному (специальному) программному обеспечению (технология однократного ввода идентификационной информации пользователей);
4) оператором должно быть исключено использование идентификатора пользователя информационной систем в качестве акаунтов пользователей электронной почты и иных сервисов;
5) оператором должно быть обеспечено управление идентификаторами внешних пользователей, учетные записи которых используются для доступа к общедоступным ресурсам информационной системы.

Содержание базовой меры ИАФ.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.3 + + + +

Усиление ИАФ.3 1а, 2а 1а, 2а 1б, 2б

ИАФ.4 УПРАВЛЕНИЕ СРЕДСТВАМИ АУТЕНТИФИКАЦИИ, В ТОМ ЧИСЛЕ ХРАНЕНИЕ, ВЫДАЧА, ИНИЦИАЛИЗАЦИЯ, БЛОКИРОВАНИЕ СРЕДСТВ АУТЕНТИФИКАЦИИ И ПРИНЯТИЕ МЕР В СЛУЧАЕ УТРАТЫ И (ИЛИ) КОМПРОМЕТАЦИИ СРЕДСТВ АУТЕНТИФИКАЦИИ

Требования к реализации ИАФ.4:

Оператором должны быть установлены и реализованы следующие функции управления средствами аутентификации пользователей и устройств в информационной системе:

определение должностного лица (администратора) оператора, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
изменение значений средств аутентификации (аутентификационной информации), заданных их производителями;
выдача средств аутентификации пользователям;
генерация и выдача начальных значений средств аутентификации (начальной аутентификационной информации);
блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;
назначение необходимых характеристик средств аутентификации (в том числе механизма пароля);
замена средств аутентификации (обновление аутентификационной информации) с периодичностью, установленной оператором;
защита аутентификационной информации от неправомерных доступа к ней и модифицирования.

Требование к усилению ИАФ.4:

1) в информационной системе, в которой аутентификация реализована на основе пароля, должны быть установлены следующие характеристики средств аутентификации (механизм пароля):
- а) задание минимальной сложности пароля с определяемыми оператором требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;
- б) задание минимального количества измененных символов при создании новых паролей;
- в) задание максимального времени действия пароля;
- г) задание минимального времени действия пароля;
- д) запрет на использование пользователями определенного оператором числа последних использованных паролей при создании новых паролей;
2) в информационной системе должно быть обеспечено использование автоматизированных средств для формирования аутентификационной информации (генераторов паролей) с требуемыми характеристиками стойкости (силы) механизма аутентификации и для оценки характеристик этих механизмов;
3) в информационной системе должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации для единой аутентификации в элементах информационной системы и компонентах программного обеспечения, предусматривающего собственную аутентификацию;
4) оператор должен обеспечить получение (запросить) у поставщика технических средств и программного обеспечения информационной системы аутентификационную информацию, заданную производителем этих технических средств и программного обеспечения и не указанную в эксплуатационной документации;
5) оператором должны быть определены меры по исключению возможности использования пользователями их идентификаторов и паролей в других информационных системах.

Содержание базовой меры ИАФ.4

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.4 + + + +

Усиление ИАФ.4 1а, 1в 1а, 1в 1а, 1в, 1д 1а, 1в, 1д

ИАФ.5 ЗАЩИТА ОБРАТНОЙ СВЯЗИ ПРИ ВВОДЕ АУТЕНТИФИКАЦИОННОЙ ИНФОРМАЦИИ

Требования к реализации ИАФ.5:

В информационной системе должна осуществляться защита аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий.

Защита обратной связи «система - субъект доступа» в процессе аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками «*», «?» или иными знаками.

Требования к усилению ИАФ.5:

Не установлены.

Содержание базовой меры ИАФ.5:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.5 + + + +

Усиление ИАФ.5

ИАФ.6 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, НЕ ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА (ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ)

Требования к реализации ИАФ.6:

В информационной системе должна осуществляться однозначная идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей), или процессов, запускаемых от имени этих пользователей.

К пользователям, не являющимся работникам оператора (внешним пользователям), относятся все пользователи информационной системы, не указанные в ИАФ.1 в качестве внутренних пользователей. Примером внешних пользователей являются граждане, на законных основаниях через сеть Интернет получающие доступ к информационным ресурсам портала Государственных услуг Российской Федерации «Электронного правительства» или официальным сайтам в сети Интернет органов государственной власти.

Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до 20 идентификации и аутентификации в соответствии с мерой защиты информации УПД.11.

Идентификация и аутентификация внешних пользователей в целях предоставления государственных услуг осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977.

Требования к усилению ИАФ.6:

Не установлены.

Содержание базовой меры ИАФ.6:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.6 + + + +

Усиление ИАФ.6

ИАФ.7 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ОБЪЕКТОВ ФАЙЛОВОЙ СИСТЕМЫ, ЗАПУСКАЕМЫХ И ИСПОЛНЯЕМЫХ МОДУЛЕЙ, ОБЪЕКТОВ СИСТЕМ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ, ОБЪЕКТОВ, СОЗДАВАЕМЫХ ПРИКЛАДНЫМ И СПЕЦИАЛЬНЫМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ, ИНЫХ ОБЪЕКТОВ ДОСТУПА

Требования к реализации ИАФ.7:

В информационной системе должна осуществляться идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа.

Требования к усилению ИАФ.7:

1) в информационной системе должна обеспечиваться аутентификация объектов файловой системы, предусматривающая при верификации (проверке) свидетельства подлинности информации проверку идентификатора пользователя, который создал свидетельство подлинности информации (в том числе электронной подписи);
2) в информационной системе должна обеспечиваться аутентификация запускаемых и исполняемых модулей (в том числе по цифровым сигнатурам производителя).

Содержание базовой меры ИАФ.7:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.7

Усиление ИАФ.7

3.2. УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА (УПД)

УПД.1 УПРАВЛЕНИЕ (ЗАВЕДЕНИЕ, АКТИВАЦИЯ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ) УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ, В ТОМ ЧИСЛЕ ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ

Требования к реализации УПД.1: Оператором должны быть

установлены и реализованы следующие функции управления учетными записями пользователей, в том числе внешних пользователей: определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);

объединение учетных записей в группы (при необходимости);
верификацию пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;
заведение, активация, блокирование и уничтожение учетных записей пользователей;
пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью, определяемой оператором;
порядок заведения и контроля использования гостевых (анонимных) и временных учетных записей пользователей, а также привилегированных учетных записей администраторов;
оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;
уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;
предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в информационной системе и взаимодействующими с ней информационными системами.

Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).

Требования к усилению УПД.1:

1) оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей; 23 2) в информационной системе должно осуществляться автоматическое блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования;

3) в информационной системе должно осуществляться автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования: а) более 90 дней;
б) более 45 дней;
4) в информационной системе должно осуществляться автоматическое блокирование учетных записей пользователей: а) при превышении установленного оператором числа неуспешных попыток аутентификации пользователя;
б) при выявлении по результатам мониторинга (просмотра, анализа) журналов регистрации событий безопасности действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации;
5) в информационной системе должен осуществляться автоматический контроль заведения, активации, блокирования и уничтожения учетных записей пользователей и оповещение администраторов о результатах автоматического контроля.

Содержание базовой меры УПД.1:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.1 + + + +

Усиление УПД.1

1, 2 1, 2, 3а 1, 2, 3б

УПД.2 РЕАЛИЗАЦИЯ НЕОБХОДИМЫХ МЕТОДОВ УПРАВЛЕНИЯ ДОСТУПОМ (ДИСКРЕЦИОННЫЙ, МАНДАТНЫЙ, РОЛЕВОЙ ИЛИ ИНОЙ МЕТОД), ТИПОВ (ЧТЕНИЕ, ЗАПИСЬ, ВЫПОЛНЕНИЕ ИЛИ ИНОЙ ТИП) И ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА

Требования к реализации УПД.2: В информационной системе для

управления доступом субъектов доступа к объектам доступа должны быть реализованы установленные оператором методы управления доступом, назначены типы доступа субъектов к объектам доступа и реализованы правила разграничения доступа субъектов доступа к объектам доступа.

Методы управления доступом реализуются в зависимости от особенностей функционирования информационной системы, с учетом угроз безопасности информации и должны включать один или комбинацию следующих методов:

24 дискреционный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и списка объекта доступа, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа;
ролевой метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе ролей субъектов доступа (совокупность действий и обязанностей, связанных с определенным видом деятельности);
мандатный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе сопоставления классификационных меток каждого субъекта доступа и каждого объекта доступа, отражающих классификационные уровни субъектов доступа и объектов доступа, являющиеся комбинациями иерархических и неиерархических категорий.

Типы доступа должны включать операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей) или запускаемому от его имени процессу при доступе к объектам доступа.

Правила разграничения доступа реализуются на основе установленных и задокументированных оператором списков доступа или матриц доступа и должны обеспечивать управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, устройствам, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации, а также иным объектам доступа.

Требования к усилению УПД.2:

1) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов при входе в информационную систему;

2) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к техническим средствам, устройствам, внешним устройствам;
3) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым общесистемным (общим) программным обеспечением;
4) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым прикладным и специальным программным обеспечением.

Содержание базовой меры УПД.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.2 + + + +

Усиление УПД.2

1, 2, 3 1, 2, 3 1, 2, 3, 4

УПД.3 УПРАВЛЕНИЕ (ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ, КОНТРОЛЬ СОЕДИНЕНИЙ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА И ИНЫЕ СПОСОБЫ УПРАВЛЕНИЯ) ИНФОРМАЦИОННЫМИ ПОТОКАМИ МЕЖДУ УСТРОЙСТВАМИ, СЕГМЕНТАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ, А ТАКЖЕ МЕЖДУ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ

Требования к реализации УПД.3: В информационной системе должно

осуществляться управление информационными потоками при передаче информации между устройствами, сегментами в рамках информационной системы, включающее: фильтрацию информационных потоков в соответствии с правилами управления потоками, установленными оператором;

разрешение передачи информации в информационной системе только по маршруту, установленному оператором;
изменение (перенаправление) маршрута передачи информации в случаях, установленных оператором;
запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи в случаях, установленных оператором.

Управление информационными потоками должно обеспечивать разрешенный (установленный оператором) маршрут прохождения информации между пользователями, устройствами, сегментами в рамках информационной системы, а также между информационными системами или при взаимодействии с сетью Интернет (или другими информационно- телекоммуникационными сетями международного информационного обмена) на основе правил управления информационными потоками, включающих контроль конфигурации информационной системы, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации). Управление информационными потоками должно

блокировать передачу защищаемой информации через сеть Интернет (или другие информационно-телекоммуникационные сети международного информационного обмена) по незащищенным линиям связи, сетевые запросы и трафик, несанкционированно исходящие из информационной системы и (или) входящие в информационную систему. 26

Требования к усилению УПД.3:

1) в информационной системе должно обеспечиваться управление информационными потоками на основе атрибутов (меток) безопасности, связанных с передаваемой информацией, источниками и получателями информации;

2) в информационной системе должно обеспечиваться динамическое управление информационными потоками, запрещающее и (или) разрешающее передачу информации на основе анализа изменения текущего состояния информационной системы или условий ее функционирования;
3) в информационной системе должен исключаться обход правил управления информационными потоками за счет преобразования передаваемой информации;
4) в информационной системе должен исключаться обход правил управления информационными потоками за счет встраивания одних данных в другие данные информационного потока;
5) в информационной системе должен обеспечиваться контроль соединений между техническими средствами (устройствами), используемыми для организации информационных потоков;
6) в информационной системе при передаче информации между сегментами информационной системы и (или) информационными системами разных классов защищенности должна обеспечиваться однонаправленная передача информации с использованием аппаратных средств;
7) в информационной системе должно обеспечиваться управление информационными потоками на основе структуры передаваемых данных (текст, таблицы, видео, аудиоинформация);
8) в информационной системе должно обеспечиваться управление информационными потоками на основе используемых сетевых протоколов;
9) в информационной системе должно обеспечиваться управление информационными потоками на основе типов (расширений) файлов и (или) имен файлов;
10) в информационной системе должна обеспечиваться возможность запрета, разрешения и изменения маршрута передачи информации только администраторами;
11) в информационной системе должно обеспечиваться разделение информационных потоков, содержащих различные виды (категории) информации, а также отделение информации управления от пользовательской информации;
12) в информационной системе должна обеспечиваться возможность автоматического блокирования передачи информации при выявлении в передаваемой информации вредоносных компьютерных программ;
13) в информационной системе должно осуществляться управление информационными потоками при передаче информации между информационными системами; 27

14) в информационной системе должна обеспечиваться возможность фильтрации информационных потоков на прикладном уровне базовой эталонной модели взаимосвязи открытых систем.

Содержание базовой меры УПД.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.3

+ + Усиление УПД.3

УПД.4 РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ (РОЛЕЙ) ПОЛЬЗОВАТЕЛЕЙ, АДМИНИСТРАТОРОВ И ЛИЦ, ОБЕСПЕЧИВАЮЩИХ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации УПД.4: Оператором должно быть обеспечено

разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, в соответствии с их должностными обязанностями (функциями), документирование в организационно-распорядительных документах по защите информации полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей).

Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с УПД.2.

Требования к усилению УПД.4:

1) оператором должно быть обеспечено выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом;

2) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по обработке информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы;
3) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по контролю (мониторингу) за обеспечением уровня защищенности информации и полномочиями (ролью) по 28 администрированию информационной системы и (или) ее системы защиты информации и обеспечению функционирования информационной системы;
4) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по администрированию системы защиты информации информационной системы и полномочиями (ролью) по обеспечению функционирования информационной системы;
5) оператором должен быть определен администратор, имеющий права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющий контроль за использованием переданных полномочий (супервизор).

Содержание базовой меры УПД.4:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.4

+ + + Усиление УПД.4

1

УПД.5 НАЗНАЧЕНИЕ МИНИМАЛЬНО НЕОБХОДИМЫХ ПРАВ И ПРИВИЛЕГИЙ ПОЛЬЗОВАТЕЛЯМ, АДМИНИСТРАТОРАМ И ЛИЦАМ, ОБЕСПЕЧИВАЮЩИМ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации УПД.5: Оператором должно быть обеспечено

назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями.

Оператором должны быть однозначно определены должностные обязанности (функции) и объекты доступа, в отношении которых установлен наименьший уровень привилегий. Доступ к объектам доступа с учетом

минимально необходимых прав и привилегий обеспечивается в соответствии с УПД.2.

Требования к усилению УПД.5:

1) оператором должно быть обеспечено предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты информации (администратору безопасности); 29 2) запрет предоставления расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними пользователями).

Содержание базовой меры УПД.5:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.5

+ + + Усиление УПД.5

1

УПД.6 ОГРАНИЧЕНИЕ НЕУСПЕШНЫХ ПОПЫТОК ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ (ДОСТУПА К ИНФОРМАЦИОННОЙ СИСТЕМЕ)

Требования к реализации УПД.6: В информационной системе должно

быть установлено ограничение количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за период времени, установленный оператором, а также обеспечено блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени.

Ограничение количества неуспешных попыток входа в информационную систему (доступа к информационной системе) должно обеспечиваться в соответствии с ИАФ.1.

Требования к усилению УПД.6:

1) в информационной системе обеспечивается автоматическое блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени с возможностью разблокирования только администратором или иным лицом, имеющим соответствующие полномочия (роль);

2) в информационной системе обеспечивается автоматическое удаление информации с мобильного технического средства, входящего в состав информационной системы, при превышении допустимого числа неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени, осуществляемых с мобильного устройства;
3) в информационной системе обеспечивается противодействие автоматизированному подбору паролей с использованием однократных кодов, 30 требующих визуального распознавания (в том числе с использованием технологии CAPTCHA).

Содержание базовой меры УПД.6:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.6 + + + +

Усиление УПД.6

1

УПД.7 ПРЕДУПРЕЖДЕНИЕ ПОЛЬЗОВАТЕЛЯ ПРИ ЕГО ВХОДЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ О ТОМ, ЧТО В ИНФОРМАЦИОННОЙ СИСТЕМЕ РЕАЛИЗОВАНЫ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ, И О НЕОБХОДИМОСТИ СОБЛЮДЕНИЯ ИМ УСТАНОВЛЕННЫХ ОПЕРАТОРОМ ПРАВИЛ ОБРАБОТКИ ИНФОРМАЦИИ

Требования к реализации УПД.7: В информационной системе должно

быть обеспечено предупреждение пользователя в виде сообщения («окна») при его входе в информационную систему (до процесса аутентификации) о том, что в информационной системе реализованы меры защиты информации, а также о том, что при работе в информационной системе пользователем должны быть соблюдены установленные оператором правила и ограничения на работу с информацией.

Вход в информационную систему и предоставление пользователю возможности работы в информационной системе осуществляются только после подтверждения пользователем ознакомления с предупреждением.

Требования к усилению УПД.7:

Не установлены.

Содержание базовой меры УПД.7:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.7

Усиление УПД.7

УПД.8 ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЯ ПОСЛЕ УСПЕШНОГО ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ О ЕГО ПРЕДЫДУЩЕМ ВХОДЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ

Требования к реализации УПД.8: В информационной системе должно

быть обеспечено после успешного входа пользователя в информационную систему (завершения процесса аутентификации) оповещение этого пользователя о дате и времени предыдущего входа в информационную систему от имени этого пользователя.

Требования к усилению УПД.8:

1) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему о количестве неуспешных попыток входа в информационную систему (доступа к информационной системе), зафиксированных с момента последнего успешного входа в информационную систему;

2) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему о количестве успешных и (или) неуспешных попыток входа в информационную систему (доступа к информационной системе), зафиксированных за период времени не менее 7 дней;
3) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему об изменения сведений, относящихся к учетной записи пользователя (в том числе изменении прав доступа), произведенных за период времени не менее, чем с момента предыдущего успешного входа в информационную систему.

Содержание базовой меры УПД.8:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.8

Усиление УПД.8

УПД.9 ОГРАНИЧЕНИЕ ЧИСЛА ПАРАЛЛЕЛЬНЫХ СЕАНСОВ ДОСТУПА ДЛЯ КАЖДОЙ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации УПД.9: В информационной системе должно

обеспечиваться ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы. 32

В информационной системе должна быть предусмотрена возможность задавать ограничения на число параллельных (одновременных) сеансов (сессий), основываясь на идентификаторах пользователей и (или) принадлежности к определенной роли.

Значение числа параллельных сеансов доступа может быть задано для информационной системы в целом, для отдельных сегментов информационной системы, для групп пользователей, отдельных пользователей или их комбинаций.

Требования к усилению УПД.9:

1) в информационной системе для привилегированных учетных записей (администраторов) количество параллельных (одновременных) сеансов (сессий) от их имени с разных устройств (средств вычислительной техники) не должно превышать следующих значений: а) не более 2;

б) не более 1;
2) в информационной системе в случае попытки входа под учетной записью пользователя или администратора, для которых достигнуто максимальное значение допустимых параллельных сеансов, при успешной аутентификации пользователя или администратора должно выдаваться сообщение о превышении числа параллельных сеансов доступа, месте (местах) их предыдущего входа (предыдущих входов) с активными сессиями и предложением отключения этой сессии (этих сессий);
3) в информационной системе должны быть предусмотрены программно- технические средства, позволяющие контролировать и отображать администратору число активных параллельных (одновременных) сеансов (сессий) для каждой учетной записи пользователей;
4) в информационной системе должны быть предусмотрены программно- технические средства, позволяющие оповещать администратора о попытках превышения числа установленных допустимых активных параллельных (одновременных) сеансов (сессий) для каждой учетной записи пользователя.

Содержание базовой меры УПД.9:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.9

+ Усиление УПД.9

1а, 3

УПД.10 БЛОКИРОВАНИЕ СЕАНСА ДОСТУПА В ИНФОРМАЦИОННУЮ СИСТЕМУ ПОСЛЕ УСТАНОВЛЕННОГО ВРЕМЕНИ БЕЗДЕЙСТВИЯ (НЕАКТИВНОСТИ) ПОЛЬЗОВАТЕЛЯ ИЛИ ПО ЕГО ЗАПРОСУ

Требования к реализации УПД.10: В информационной системе должно

обеспечиваться блокирование сеанса доступа пользователя после установленного оператором времени его бездействия (неактивности) в информационной системе или по запросу пользователя.

Блокирование сеанса доступа пользователя в информационную систему обеспечивает временное приостановление работы пользователя со средством вычислительной техники, с которого осуществляется доступ к информационной системе (без выхода из информационной системы).

Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.

Блокирование сеанса доступа пользователя в информационную систему должно сохраняться до прохождения им повторной идентификации и аутентификации в соответствии с ИАФ.1.

Требования к усилению УПД.10:

1) в информационной системе обеспечивается блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя: а) до 15 минут;

б) до 5 минут;
2) в информационной системе на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя (в том числе использование «хранителя экрана», гашение экрана или иные способы);
3) в информационной системе обеспечивается завершение сеанса пользователя (выхода из системы) после превышения установленного оператором времени бездействия (неактивности) пользователя.

Содержание базовой меры УПД.10:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.10

+ + + Усиление УПД.10

1а, 2 1б, 2

УПД.11 РАЗРЕШЕНИЕ (ЗАПРЕТ) ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ, РАЗРЕШЕННЫХ ДО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ

Требования к реализации УПД.11: Оператором устанавливается

перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий пользователей, не включенных в перечень разрешенных действий, до прохождения пользователями процедур идентификации и аутентификации.

Разрешение действий пользователей до прохождения ими процедур идентификации и аутентификации осуществляется, в том числе, при предоставлении пользователям доступа к общедоступной информации (веб- сайтам, порталам, иным общедоступным ресурсам). Также администратору

разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).

Требования к усилению УПД.11:

Не установлены.

Содержание базовой меры УПД.11:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.11

+ + Усиление УПД.11

УПД.12 ПОДДЕРЖКА И СОХРАНЕНИЕ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ В ПРОЦЕССЕ ЕЕ ХРАНЕНИЯ И ОБРАБОТКИ

Требования к реализации УПД.12: В информационной системе должно

обеспечиваться поддержка (обновление, назначение, изменение) и сохранение атрибутов безопасности (меток безопасности), установленных оператором, связанных с информацией в процессе ее хранения и обработки.

Атрибуты безопасности (метки безопасности) представляют собой свойства (характеристики) объектов и (или) субъектов доступа, которые используются для контроля доступа субъектов к объектам доступа и управления информационными потоками.

Требования к усилению УПД.12:

1) в информационной системе обеспечивается динамическое изменение атрибутов безопасности в соответствии с организационно-распорядительными документами по защите информации оператора в зависимости от процесса обработки информации (формирование, объединение, разделение информационных ресурсов);

2) в информационной системе допускается изменение атрибутов безопасности только авторизованными пользователям или процессами;
3) в информационной системе обеспечивается автоматизированный контроль связи атрибутов безопасности с информацией;
4) в информационной системе обеспечивается возможность отображения пользователям в удобочитаемом виде атрибутов безопасности (меток безопасности) для каждого из объектов доступа (отображение атрибутов безопасности на экран монитора и (или) при выводе информации на печать на принтере).

Содержание базовой меры УПД.12:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.12

Усиление УПД.12

УПД.13 РЕАЛИЗАЦИЯ ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА ЧЕРЕЗ ВНЕШНИЕ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫЕ СЕТИ

Требования к реализации УПД.13: Оператором должна обеспечиваться

защита информации при доступе пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы через информационно-телекоммуникационные сети, в том числе сети связи общего пользования, с использованием стационарных и (или) мобильных технических средств (защита удаленного доступа).

Защита удаленного доступа должна обеспечиваться при всех видах доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа) и включает: установление (в том числе документальное) видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;

ограничение на использование удаленного доступа в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление удаленного доступа для каждого разрешенного вида удаленного доступа в соответствии с УПД.2; 36

предоставление удаленного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);

мониторинг и контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа информационной системы;
контроль удаленного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой.

Порядок и правила применения удаленного доступа регламентируются в организационно-распорядительных документах по защите информации оператора.

Требования к усилению УПД.13:

1) в информационной системе для мониторинга и контроля удаленного доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства);

2) в информационной системе используется ограниченное (минимально необходимое) количество точек подключения к информационной системе при организации удаленного доступа к объектам доступа информационной системы;
3) в информационной системе исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы и ее системы защиты информации;
4) в информационной системе при удаленном доступе обеспечивается применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации;
5) в информационной системе обеспечивается мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с информационной системой;
6) в информационной системе должен обеспечиваться запрет удаленного доступа с использованием сетевых технологий и протоколов, определенных оператором по результатам анализа защищенности в соответствии с АНЗ.1 как

небезопасных.

Содержание базовой меры УПД.13:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.13

+ + + Усиление УПД.13

2, 3 2, 3, 5 1, 2, 3, 5 37

УПД.14 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ТЕХНОЛОГИЙ БЕСПРОВОДНОГО ДОСТУПА

Требования к реализации УПД.14: Оператором должны обеспечиваться

регламентация и контроль использования в информационной системе технологий беспроводного доступа пользователей к объектам доступа (стандарты коротковолновой радиосвязи, спутниковой и пакетной радиосвязи), направленные на защиту информации в информационной системе.

Регламентация и контроль использования технологий беспроводного доступа должны включать: ограничение на использование технологий беспроводного доступа (беспроводной передачи данных, беспроводного подключения оборудования к сети, беспроводного подключения устройств к средству вычислительной техники) в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление беспроводного доступа в соответствии с УПД.2;

предоставление технологий беспроводного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);

мониторинг и контроль применения технологий беспроводного доступа на предмет выявления несанкционированного использования технологий беспроводного доступа к объектам доступа информационной системы;
контроль беспроводного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой.

Порядок и правила применения технологий беспроводного доступа регламентируются в организационно-распорядительных документах по защите информации оператора.

Требования к усилению УПД.14:

1) в информационной системе обеспечивается аутентификация подключаемых с использованием технологий беспроводного доступа устройств в соответствии с ИАФ.2;

2) в информационной системе обеспечивается мониторинг точек беспроводного подключения устройств к информационной системе на предмет выявления несанкционированного беспроводного подключения устройств;

3) в информационной системе исключается возможность изменения пользователем точек беспроводного доступа информационной системы;
4) оператором одолжен быть предусмотрен запрет беспроводного доступа к информационной системе из-за пределов контролируемой зоны;
5) в информационной системе должен быть запрещен беспроводный доступ от имени привилегированных учетных записей (администраторов) для 38 администрирования информационной системы и ее системы защиты информации;
6) в информационной системе исключается возможность изменения пользователем устройств и настроек беспроводного доступа.

Содержание базовой меры УПД.14:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.14 + + + +

Усиление УПД.14

1 1, 3 1, 3, 4, 5

УПД.15 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ

Требования к реализации УПД.15: Оператором должны обеспечиваться

регламентация и контроль использования в информационной системе мобильных технических средств, направленные на защиту информации в информационной системе.

В качестве мобильных технических средств рассматриваются съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства).

Регламентация и контроль использования мобильных технических средств должны включать: установление (в том числе документальное) видов доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа), разрешенных для доступа к объектам доступа информационной системы с использованием мобильных технических средств, входящих в состав информационной системы;

использование в составе информационной системы для доступа к объектам доступа мобильных технических средств (служебных мобильных технических средств), в которых реализованы меры защиты информации в соответствии с ЗИС.30;

ограничение на использование мобильных технических средств в соответствии с задачами (функциями) информационной системы, для решения которых использование таких средств необходимо, и предоставление доступа с использованием мобильных технических средств в соответствии с УПД.2;

мониторинг и контроль применения мобильных технических средств на предмет выявления несанкционированного использования мобильных 39 технических средств для доступа к объектам доступа информационной системы;

запрет возможности запуска без команды пользователя в информационной системе программного обеспечения (программного кода), используемого для взаимодействия с мобильным техническим средством.

Порядок и правила применения мобильных технических средств, включая процедуры выдачи и возврата мобильных технических средств, а также их передачи на техническое обслуживание (процедура должна обеспечивать удаление или недоступность информации), регламентируются в организационно-распорядительных документах по защите информации оператора.

Требования к усилению УПД.15:

1) оператором обеспечивается запрет использования в информационной системе, не входящих в ее состав (находящихся в личном использовании) съемных машинных носителей информации;

2) оператором обеспечивается запрет использования в информационной системе съемных машинных носителей информации, для которых не определен владелец (пользователь, организация, ответственные за принятие мер защиты информации);
3) оператором обеспечивается запрет использования в информационной системе мобильных технических средств, в которых не реализованы меры защиты информации;
4) оператором обеспечивается очистка машинного носителя информации мобильного технического средства, переустановка программного обеспечения и выполнение иных мер по защите информации мобильных технических средств, после их использования за пределами контролируемой зоны;
5) оператором обеспечивается предоставление доступа с использованием мобильных технических средств к объектам доступа информационной системы только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
6) в информационной системе обеспечивается запрет использования мобильных технических средств, на которые в информационной системе может быть осуществлена запись информации (перезаписываемых съемных носителей информации).

Содержание базовой меры УПД.15:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.15 + + + +

Усиление УПД.15

1, 2 1, 2, 3 40

УПД.16 УПРАВЛЕНИЕ ВЗАИМОДЕЙСТВИЕМ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ СТОРОННИХ ОРГАНИЗАЦИЙ (ВНЕШНИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ)

Требования к реализации УПД.16: Оператором должно быть

обеспечено управление взаимодействием с внешними информационными системами, включающими информационные системы и вычислительные ресурсы (мощности) уполномоченных лиц, информационные системы, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения), а также с иными информационными системами, информационное взаимодействие с которыми необходимо для функционирования информационной системы.

Управление взаимодействием с внешними информационными системами должно включать: предоставление доступа к информационной системе только авторизованным (уполномоченным) пользователям в соответствии с УПД.2;

определение типов прикладного программного обеспечения информационной системы, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних информационных систем;

определение системных учетных записей, используемых в рамках данного взаимодействия;
определение порядка предоставления доступа к информационной системе авторизованными (уполномоченным) пользователями из внешних информационных систем;
определение порядка обработки, хранения и передачи информации с использованием внешних информационных систем.

При информационном взаимодействии информационной системы с внешними информационными системами должны быть учтены классы защищенности внешних информационных систем.

Управление взаимодействием с внешними информационными системами в целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977.

Требования к усилению УПД.16:

1) оператор предоставляет доступ к информационной системе авторизованным (уполномоченным) пользователям внешних информационных систем или разрешает обработку, хранение и передачу информации с использованием внешней информационной системы при выполнении следующих условий:

41 а) при наличии подтверждения выполнения во внешней информационной системе предъявленных к ней требований о защите информации (наличие аттестата соответствия требованиям по безопасности информации);
б) при наличии договора (соглашения) об информационном взаимодействии с оператором (обладателем, владельцем) внешней информационной системы.

Содержание базовой меры УПД.16:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.16 + + + +

Усиление УПД.16

1а 1а 1а, 1б 1а, 1б

УПД.17 ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

Требования к реализации УПД.17: В информационной системе должно

обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники информационной системы на этапе его загрузки.

Доверенная загрузка должна обеспечивать: блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;

контроль доступа пользователей к процессу загрузки операционной системы;
контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.

В информационной системе применяется доверенная загрузка уровня базовой системы ввода-вывода, уровня платы расширения и уровня загрузочной записи.

Требования к усилению УПД.17:

1) в информационной системе должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения;

2) в информационной системе должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения, реализованные на основе программно-аппаратного модуля.

Содержание базовой меры УПД.17:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.17

+ + Усиление УПД.17

3.3 ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ (ОПС)

ОПС.1 УПРАВЛЕНИЕ ЗАПУСКОМ (ОБРАЩЕНИЯМИ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ ОПРЕДЕЛЕНИЕ ЗАПУСКАЕМЫХ КОМПОНЕНТОВ, НАСТРОЙКА ПАРАМЕТРОВ ЗАПУСКА КОМПОНЕНТОВ, КОНТРОЛЬ ЗА ЗАПУСКОМ КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Требования к реализации ОПС.1: Оператором должны быть реализованы следующие функции по управлению запуском (обращениями) компонентов программного обеспечения: определение перечня (списка) компонентов программного обеспечения (файлов, объектов баз данных, хранимых процедур и иных компонентов), запускаемых автоматически при загрузке операционной системы средства вычислительной техники; разрешение запуска компонентов программного обеспечения, включенных в перечень (список) программного обеспечения, запускаемого автоматически при загрузке операционной системы средства вычислительной техники; ограничение запуска компонентов программного обеспечения от имени администраторов безопасности (например, разрешение такого запуска только для программного обеспечения средств защиты информации: сенсоры систем обнаружения вторжений, агенты систем мониторинга событий информационной безопасности, средства антивирусной защиты); настройка параметров запуска компонентов программного обеспечения от имени учетной записи администратора безопасности таким образом, чтобы текущий пользователь средства вычислительной техники не мог получить через данные компоненты доступ к объектам доступа, на доступ к которым у него нет прав в соответствии с УПД.2; контроль за запуском компонентов программного обеспечения, обеспечивающий выявление компонентов программного обеспечения, не включенных в перечень (список) компонентов, запускаемых автоматически при загрузке операционной системы средства вычислительной техники.

Требования к усилению ОПС.1: 1) в информационной системе обеспечивается разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности; 2) в информационной системе обеспечивается использование средств автоматизированного контроля перечня (списка) компонентов программного обеспечения, запускаемого автоматически при загрузке операционной системы средства вычислительной техники; 3) в информационной системе обеспечивается использование автоматизированных механизмов управления запуском (обращениями) компонентов программного обеспечения; 44

4) в информационной системе обеспечивается управление удаленным запуском компонентов программного обеспечения (например, запрет запуска компонентов программного обеспечения на одном средстве вычислительной техники командой с другого средства вычислительной техники); 5) в информационной системе обеспечивается управление временем запуска и завершения работы компонентов программного обеспечения (например, ограничение запуска только в течение рабочего дня); 6) в информационной системе обеспечивается контроль (состояния) целостности запускаемых компонентов программного обеспечения (файлов (в том числе конфигурационных), объектов баз данных, подключаемых библиотек и др.) в соответствии с ОЦЛ.1; 7) в информационной системе обеспечивается контроль обновления запускаемых компонентов программного обеспечения; 8) в информационной системе обеспечивается регистрация событий, связанных с контролем состояния и обновлением запускаемых компонентов программного обеспечения; 9) в информационной системе обеспечивается запрет (блокирование) запуска определенных оператором компонентов программного обеспечения, не прошедших аутентификацию в соответствии с ИАФ.7.

Содержание базовой меры ОПС.1:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОПС.1

Усиление ОПС.1

1, 2, 3

ОПС.2 УПРАВЛЕНИЕ УСТАНОВКОЙ (ИНСТАЛЛЯЦИЕЙ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ ОПРЕДЕЛЕНИЕ КОМПОНЕНТОВ, ПОДЛЕЖАЩИХ УСТАНОВКЕ, НАСТРОЙКА ПАРАМЕТРОВ УСТАНОВКИ КОМПОНЕНТОВ, КОНТРОЛЬ ЗА УСТАНОВКОЙ КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Требования к реализации ОПС.2: Оператором должны быть реализованы следующие функции по управлению установкой (инсталляцией) компонентов программного обеспечения информационной системы: определение компонентов программного обеспечения (состава и конфигурации), подлежащих установке в информационной системе после загрузки операционной системы; настройка параметров установки компонентов программного обеспечения, обеспечивающая исключение установки (если осуществимо) компонентов программного обеспечения, использование которых не требуется 45

для реализации информационной технологии информационной системы (например, при запуске установщика можно выбрать или не выбрать определенные опции и, тем самым, разрешить или запретить установку соответствующих компонентов программного обеспечения); выбор конфигурации устанавливаемых компонентов программного обеспечения (в том числе конфигурации, предусматривающие включение в домен, или невключение в домен); контроль за установкой компонентов программного обеспечения (состав компонентов, параметры установки, конфигурация компонентов); определение и применение параметров настройки компонентов программного обеспечения, включая программные компоненты средств защиты информации, обеспечивающих реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации.

Требования к усилению ОПС.2: 1) в информационной системе должно обеспечиваться использование средств автоматизации для применения и контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации; 2) в информационной системе должны быть реализованы автоматизированные механизмы реагирования на несанкционированное изменение параметров настройки компонентов программного обеспечения, влияющих на безопасность информации, предусматривающие блокирование доступа к средству вычислительной техники и (или) информации, автоматическое восстановление параметров настройки или другие действия, препятствующие несанкционированному доступу к информации, который может быть получен вследствие несанкционированного изменения параметров настройки; 3) в информационной системе должно обеспечиваться использование средств автоматизации для инсталляции и централизованного управления процессами инсталляции, в том числе с применением пакетов эталонных дистрибутивов программного обеспечения.

Содержание базовой меры ОПС.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОПС.2 + + Усиление ОПС.2

1 

46

ОПС.3 УСТАНОВКА (ИНСТАЛЛЯЦИЯ) ТОЛЬКО РАЗРЕШЕННОГО К ИСПОЛЬЗОВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И (ИЛИ) ЕГО КОМПОНЕНТОВ

Требования к реализации ОПС.3: Оператором должна быть обеспечена установка (инсталляция) только разрешенного к использованию в информационной системе программного обеспечения и (или) его компонентов. Установка (инсталляция) в информационной системе программного обеспечения (вида, типа, класса программного обеспечения) и (или) его компонентов осуществляется с учетом перечня программного обеспечения и (или) его компонентов, разрешенных оператором к установке, и (или) перечнем программного обеспечения и (или) его компонентов, запрещенных оператором к установке. Указанные перечни программного обеспечения и (или) его компонентов разрабатываются оператором для информационной системы в целом или для всех ее сегментов в отдельности. Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов должна осуществляться только от имени администратора в соответствии с УПД.5. Оператором должен обеспечиваться периодический контроль установленного (инсталлированного) в информационной системе программного обеспечения на предмет соответствия его перечню программного обеспечения, разрешенному к установке в информационной системе в соответствии с АНЗ.4, а также на предмет отсутствия программного обеспечения, запрещенного оператором к установке.

Требования к усилению ОПС.3: Не установлены.

Содержание базовой меры ОПС.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОПС.3 + + + + Усиление ОПС.3

ОПС.4 УПРАВЛЕНИЕ ВРЕМЕННЫМИ ФАЙЛАМИ, В ТОМ ЧИСЛЕ ЗАПРЕТ, РАЗРЕШЕНИЕ, ПЕРЕНАПРАВЛЕНИЕ ЗАПИСИ, УДАЛЕНИЕ ВРЕМЕННЫХ ФАЙЛОВ

Требования к реализации ОПС.4: В информационной системе должно осуществляться управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов. 47

Управление временными файлами должно обеспечивать перехват записи временной информации в файлы на системном (загрузочном) разделе машинного носителя информации средства вычислительной техники и ее перенаправление в оперативную память и (или) в другой раздел машинного носителя информации с последующей очисткой (стиранием). Оператором должен быть определен порядок очистки (стирания) временных файлов.

Требования к усилению ОПС.4: 1) в информационной системе должны осуществляться: а) контроль доступа к временным файлам; б) удаление временных файлов по завершению сеанса работы с ними.

Содержание базовой меры ОПС.4:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОПС.4

Усиление ОПС.4

3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ)

ЗНИ.1 УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ

Требования к реализации ЗНИ.1: Оператором должна быть обеспечен учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации. Учету подлежат: съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства); портативные вычислительные устройства, имеющие встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства); машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках). Учет машинных носителей информации включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации и иные номера. Учет съемных машинных носителей информации ведется в журналах учета машинных носителей информации. Учет встроенных в портативные или стационарные технические средства машинных носителей информации может осуществляться вестись в журналах материально-технического учета в составе соответствующих технических средств. При использовании в составе одного технического средства информационной системы нескольких встроенных машинных носителей информации, конструктивно объединенных в единый ресурс для хранения информации, допускается присвоение регистрационного номера техническому средству в целом. Регистрационные или иные номера подлежат занесению в журналы учета машинных носителей информации или журналы материально-технического учета с указанием пользователя или группы пользователей, которым разрешен доступ к машинным носителям информации. Раздельному учету в журналах учета подлежат съемные (в том числе портативные) перезаписываемые машинные носители информации (флэш- накопители, съемные жесткие диски).

Требования к усилению ЗНИ.1: 1) оператором обеспечиваться маркировка машинных носителей информации, дополнительно включающая: 49

а) информацию о возможности использования машинного носителя информации вне информационной системы; б) информацию о возможности использования машинного носителя информации за пределами контролируемой зоны (конкретных помещений); в) атрибуты безопасности, указывающие на возможность использования этих машинных носителей информации для обработки (хранения) соответствующих видов информации. 2) оператором обеспечиваться маркировке машинных носителей информации, дополнительно включающая неотторгаемую цифровую метку носителя информации для обеспечения возможности распознавания (идентификации) носителя в системах управления доступом; 3) оператором обеспечиваться маркировка машинных носителей информации, дополнительно включающая использование механизмов распознавания (идентификации) носителя информации по его уникальным физическим характеристикам.

Содержание базовой меры ЗНИ.1:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗНИ.1 + + + + Усиление ЗНИ.1

1а 1а, 1б

ЗНИ.2 УПРАВЛЕНИЕ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ ИНФОРМАЦИИ

Требования к реализации ЗНИ.2: Оператором должны быть реализованы следующие функции по управлению доступом к машинным носителям информации, используемым в информационной системе: определение должностных лиц, имеющих физический доступ к машинным носителям информации, а именно к следующим: съемным машинным носителям информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства); портативным вычислительным устройствам, имеющим встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства); машинным носителям информации, стационарно устанавливаемым в корпус средств вычислительной техники (например, накопители на жестких дисках); 50

предоставление физического доступа к машинным носителям информации только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функции); Порядок и правила доступа к машинным носителям информации регламентируются в организационно-распорядительных документах по защите информации оператора.

Требования к усилению ЗНИ.2: 1) применение автоматизированной системы контроля физического доступа в помещения, в которых осуществляется хранение машинных носителей информации; 2) опечатывание корпуса средства вычислительной техники, в котором стационарно установлен машинный носитель информации; 3) в информационной системе должно обеспечиваться применение программных (программно-технических) автоматизированных средств управления физическим доступом к машинным носителям информации; 4) контроль физического доступа лиц к машинным носителям информации в соответствии с атрибутами безопасности, установленными для этих носителей.

Содержание базовой меры ЗНИ.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗНИ.2 + + + + Усиление ЗНИ.2

ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ

Требования к реализации ЗНИ.3: Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны. При контроле перемещения машинных носителей информации должны осуществляться: определение должностных лиц, имеющих права на перемещение машинных носителей информации за пределы контролируемой зоны; предоставление права на перемещение машинных носителей информации за пределы контролируемой зоны только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функции); учет перемещаемых машинных носителей информации в соответствии с ЗНИ.1; периодическая проверка наличия машинных носителей информации. 51

Требования к усилению ЗНИ.3: 1) оператором информационной системе определяются задачи (виды деятельности, функции), для решения которых необходимо перемещение машинных носителей информации за пределы контролируемой зоны; 2) применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации, хранимой на носителе, при перемещении машинных носителей информации за пределы контролируемой зоны; 3) оператором определяется должностное лицо, ответственное за перемещение машинных носителей информации;

Содержание базовой меры ЗНИ.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗНИ.3

+ +

Усиление ЗНИ.3

ЗНИ.4 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ НЕСАНКЦИОНИРОВАННОГО ОЗНАКОМЛЕНИЯ С СОДЕРЖАНИЕМ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА МАШИННЫХ НОСИТЕЛЯХ, И (ИЛИ) ИСПОЛЬЗОВАНИЯ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ИНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

Требования к реализации ЗНИ.4: Оператором должно обеспечиваться исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах. Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах должно предусматривать: определение типов машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации); физический контроль и хранение машинных носителей информации в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации); 52

защита машинных носителей информации до уничтожения (стирания) с них данных и остаточной информации с использованием средств стирания данных и остаточной информации.

Требования к усилению ЗНИ.4: 1) оператором должны применяться средства контроля съемных машинных носителей информации; 2) оператором должны применяться в соответствии с законодательством Российской Федерации криптографические методы защиты информации, хранящейся на машинных носителях; 3) оператором должен быть определен перечь машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации).

Содержание базовой меры ЗНИ.4:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗНИ.4

+ +

Усиление ЗНИ.4

1 1

ЗНИ.5 КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ИНТЕРФЕЙСОВ ВВОДА (ВЫВОДА)

Требования к реализации ЗНИ.5: В информационной системе должен осуществляться контроль использования интерфейсов ввода (вывода). Контроль использования (разрешение или запрет) интерфейсов ввода (вывода) должен предусматривать: определение оператором интерфейсов средств вычислительной техники, которые могут использоваться для ввода (вывода) информации, разрешенных и (или) запрещенных к использованию в информационной системе; определение оператором категорий пользователей, которым предоставлен доступ к разрешенным к использованию интерфейсов ввода (вывода); принятие мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода); контроль доступа пользователей к разрешенным к использованию интерфейсов ввода (вывода). В качестве мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода), могут применяться: опечатывание интерфейсов ввода (вывода); использование механических запирающих устройств; 53

удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода); применение соответствующих средств защиты информации.

Требования к усилению ЗНИ.5: 1) в информационной системе должна быть обеспечена регистрация использования интерфейсов ввода (вывода) в соответствии с РСБ.3; 2) оператором обеспечивается конструктивное (физическое) исключение из средства вычислительной техники запрещенных к использованию интерфейсов ввода (вывода).

Содержание базовой меры ЗНИ.5:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗНИ.5

+ +

Усиление ЗНИ.5

ЗНИ.6 КОНТРОЛЬ ВВОДА (ВЫВОДА) ИНФОРМАЦИИ НА МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ

Требования к реализации ЗНИ.6: В информационной системе должен осуществляться контроль ввода (вывода) информации на машинные носители информации. Контроль ввода (вывода) информации на машинные носители информации должен предусматривать: определение оператором типов носителей информации, на которые разрешен ввод (вывод) информации в соответствии с УПД.2; определение оператором категорий пользователей, которым предоставлены полномочия по вводу (выводу) информации на машинные носители в соответствии с УПД.2; запрет действий по вводу (выводу) информации для пользователей, не имеющих полномочий на ввод (вывод) информации на машинные носители информации, и на носители информации, на которые запрещен ввод (вывод) информации; регистрация действий пользователей и событий по вводу (выводу) информации на машинные носители информации в соответствии с РСБ.3.

Требования к усилению ЗНИ.6: 1) в информационной систем должна создаваться копия информации, записываемой пользователями на съемные машинные носители информации (теневое копирование). 54

Содержание базовой меры ЗНИ.6:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗНИ.6

Усиление ЗНИ.6

ЗНИ.7 КОНТРОЛЬ ПОДКЛЮЧЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ

Требования к реализации ЗНИ.7: В информационной системе должен обеспечиваться контроль подключения машинных носителей информации. Контроль подключения машинных носителей информации должен предусматривать: определение оператором типов носителей информации, подключение которых к информационной системе разрешено в соответствии с УПД.2; определение оператором категорий пользователей, которым предоставлены полномочия по подключению носителей к информационной системе в соответствии с УПД.2; запрет подключения носителей информации, подключение которых к информационной системе не разрешено; регистрация действий пользователей и событий по подключению к информационной системе носителей в соответствии с РСБ.3.

Требования к усилению ЗНИ.7: 1) оператором должен обеспечиваться контроль подключения машинных носителей информации с использованием средств контроля подключения съемных носителей информации, позволяющих устанавливать разрешенные и (или) запрещенные типы и (или) конкретные съемные машинные носители информации для различных категорий пользователей; 2) запрет подключения к информационной системе носителей пользователями, не имеющими полномочий на подключение носителей.

Содержание базовой меры ЗНИ.7:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗНИ.7

Усиление ЗНИ.7

ЗНИ.8 УНИЧТОЖЕНИЕ (СТИРАНИЕ) ИНФОРМАЦИИ НА МАШИННЫХ НОСИТЕЛЯХ ПРИ ИХ ПЕРЕДАЧЕ МЕЖДУ ПОЛЬЗОВАТЕЛЯМИ, В СТОРОННИЕ ОРГАНИЗАЦИИ ДЛЯ РЕМОНТА ИЛИ УТИЛИЗАЦИИ, А ТАКЖЕ КОНТРОЛЬ УНИЧТОЖЕНИЯ (СТИРАНИЯ)

Требования к реализации ЗНИ.8: Оператором должно обеспечиваться уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) информации. Уничтожение (стирание) информации на машинных носителях должно исключать возможность восстановления информации конфиденциального характера (защищаемая информация) при передаче машинных носителей между пользователями, в сторонние организации для ремонта или утилизации. Уничтожению (стиранию) подлежит информация, хранящаяся на цифровых и нецифровых, съемных и несъемных машинных носителях информации. Процедуры уничтожения (стирания) информации на машинных носителях, а также контроля уничтожения (стирания) информации должны быть разработаны оператором и включены в организационно- распорядительные документы по защите информации.

Требования к усилению ЗНИ.8: 1) оператором должны быть обеспечены регистрация и контроль действий по удалению защищаемой информации и уничтожению машинных носителей информации; 2) оператором должны проводиться периодическая проверка процедур и тестирование средств стирания информации и контроля удаления информации; 3) оператором перед подключением к информационной системе должно быть обеспечено уничтожение (стирание) информации с носителей информации после их приобретения и при первичном подключении к информационной системе, при использовании в иных информационных системах, при передаче для постоянного использования от одного пользователя другому пользователю, после возвращения из ремонта, а также в иных случаях, определяемых оператором; 4) оператором должно быть обеспечено уничтожение машинных носителей информации, которые не подлежат очистке (неперезаписываемые машинные носители информации, такие как оптические диски типа CD-R); 5) оператором должны применяться следующие меры по уничтожению (стиранию) информации на машинных носителях, исключающие возможность восстановления информации конфиденциального характера (защищаемая информация): а) удаление файлов штатными средствами операционной системы и (или) форматирование машинного носителя информации штатными средствами операционной системы; 56

б) перезапись уничтожаемых (стираемых) файлов случайной битовой последовательностью, удаление записи о файлах, обнуление журнала файловой системы или полная перезапись всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием; в) очистка всего физического пространства машинного носителя информации, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя; г) полная многократная перезапись машинного носителя информации специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации, затем очистка всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя.

Содержание базовой меры ЗНИ.8:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗНИ.8 + + + + Усиление ЗНИ.8 5а 1, 5б 1, 5в 1, 2, 3, 5г

3.5. РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ (РСБ)

3.5.1. РСБ.1 ОПРЕДЕЛЕНИЕ СОБЫТИЙ БЕЗОПАСНОСТИ, ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ, И СРОКОВ ИХ ХРАНЕНИЯ

Требования к реализации РСБ.1: Оператором должны быть определены события безопасности в информационной системе, подлежащие регистрации, и сроки их хранения. События безопасности, подлежащие регистрации в информационной системе, должны определяться с учетом способов реализации угроз безопасности, признанных актуальными для информационной системы. К событиям безопасности, подлежащим регистрации в информационной системе, должны быть отнесены любые проявления состояния информационной системы и ее системы защиты информации, указывающие на возможность нарушения конфиденциальности, целостности или доступности информации, процедур, установленных организационно-распорядительными документами по защите информации оператора, а также на нарушение штатного функционирования средств защиты информации. События безопасности, подлежащие регистрации в информационной системе, и сроки их хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в информационной системе. Подлежат регистрации события безопасности, связанные с применением выбранных мер по защите информации в информационной системе. Перечень событий безопасности, регистрация которых осуществляется в текущий момент времени, определяется оператором исходя из возможностей реализации угроз безопасности информации. В информационной системе как минимум подлежат регистрации следующие события: вход (выход), а также попытки входа субъектов доступа в информационную систему и загрузки (останова) операционной системы; подключение машинных носителей информации и вывод информации на носители информации; запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации; попытки доступа программных средств к определяемым оператором защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей) и иным объектам доступа. Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются в соответствии с РСБ.2.

Требования к усилению РСБ.1: 1) оператором должен обеспечиваться пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год; 58

2) оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с действиями от имени привилегированных учетных записей (администраторов); 3) оператором должен быть обеспечен срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом: а) осуществляется хранение только записей о выявленных событиях безопасности; б) осуществляется хранение записей о выявленных событиях безопасности и записей системных журналов, которые послужили основанием для регистрации события безопасности; в) осуществляется хранение всех записей системных журналов и событий безопасности.

Содержание базовой меры РСБ.1:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 РСБ.1 + + + + Усиление РСБ.1 1, 3а 1, 2, 3б

РСБ.2 ОПРЕДЕЛЕНИЕ СОСТАВА И СОДЕРЖАНИЯ ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ, ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ

Требования к реализации РСБ.2:В информационной системе должны быть определены состав и содержание информации о событиях безопасности, подлежащих регистрации. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, должны, как минимум, обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности. При регистрации входа (выхода) субъектов доступа в информационную систему и загрузки (останова) операционной системы состав и содержание информации должны, как минимум включать дату и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) операционной системы, результат попытки входа (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке доступа. 59

При регистрации подключения машинных носителей информации и вывода информации на носители информации состав и содержание регистрационных записей должны, как минимум, включать дату и время подключения машинных носителей информации и вывода информации на носители информации, логическое имя (номер) подключаемого машинного носителя информации, идентификатор пользователя, осуществляющего вывод информации на носитель информации). При регистрации запуска (завершения) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации состав и содержание регистрационных записей должны, как минимум, включать дату и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя (устройства), запросившего программу (процесс, задание), результат запуска (успешный, неуспешный). При регистрации попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам состав и содержание регистрационных записей должны, как минимум, включать дату и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя (устройства), спецификация защищаемого файла). При регистрации попытки доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, записям, полям записей) состав и содержание информации должны, как минимум, включать дату и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя (устройства), спецификация защищаемого объекта (логическое имя (номер).

Требования к усилению РСБ.2: 1) в информационной системе обеспечивается запись дополнительной информации о событиях безопасности, включающую полнотекстовую запись привилегированных команд (команд, управляющих системными функциями); 2) в информационной системе обеспечивается централизованное управление записями регистрации событий безопасности в рамках сегментов информационной системы, определяемых оператором, и (или) информационной системы в целом; 3) в информационной системе обеспечивается индивидуальная регистрация пользователей групповых учетных записей* .

Локальные и доменные группы пользователей. 60

Содержание базовой меры РСБ.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 РСБ.2 + + + + Усиление РСБ.2 1 1

РСБ.3 СБОР, ЗАПИСЬ И ХРАНЕНИЕ ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ В ТЕЧЕНИЕ УСТАНОВЛЕННОГО ВРЕМЕНИ ХРАНЕНИЯ

Требования к реализации РСБ.3: В информационной системе должны осуществляться сбор, запись и хранение информации о событиях безопасности в течение установленного оператором времени хранения информации о событиях безопасности. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения должен предусматривать: возможность выбора администратором безопасности событий безопасности, подлежащих регистрации в текущий момент времени из перечня событий безопасности определенных в соответствии с РСБ.1; генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту) в соответствии с РСБ.1 с составом и содержанием информации, определенными в соответствии с РСБ.2; хранение информации о событиях безопасности в течение времени, установленного в соответствии с РСБ.1. Объем памяти для хранения информации о событиях безопасности должен быть рассчитан и выделен с учетом типов событий безопасности, подлежащих регистрации в соответствии с РСБ.1; составом и содержанием информации о событиях безопасности, подлежащих регистрации, в соответствии с РСБ.2, прогнозируемой частоты возникновения подлежащих регистрации событий безопасности, срока хранения информации о зарегистрированных событиях безопасности в соответствии с РСБ.1.

Требования к усилению РСБ.3: 1) в информационной системе должно быть обеспечено централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности; 2) в информационной системе обеспечивается объединение информации из записей регистрации событий безопасности, полученной от разных технических средств (устройств), программного обеспечения информационной системы, в единый логический или физический журнал аудита с корреляцией информации по времени для своевременного выявления инцидентов и реагирования на них; 61

3) в информационной системе обеспечивается объединение информации из записей регистрации событий безопасности, полученной от разных технических средств (устройств), программного обеспечения информационной системы, в единый логический или физический журнал аудита с корреляцией информации по событиям безопасности для своевременного выявления инцидентов и реагирования на них в масштабах оператора; 4) в информационной системе обеспечивается хранение записей системных журналов и записей о событиях безопасности в обособленном хранилище, физически отделенным от технических средств, входящих в состав информационной системы.

Содержание базовой меры РСБ.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 РСБ.3 + + + + Усиление РСБ.3 1 1

РСБ.4 РЕАГИРОВАНИЕ НА СБОИ ПРИ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ, В ТОМ ЧИСЛЕ АППАРАТНЫЕ И ПРОГРАММНЫЕ ОШИБКИ, СБОИ В МЕХАНИЗМАХ СБОРА ИНФОРМАЦИИ И ДОСТИЖЕНИЕ ПРЕДЕЛА ИЛИ ПЕРЕПОЛНЕНИЯ ОБЪЕМА (ЕМКОСТИ) ПАМЯТИ

Требования к реализации РСБ.4: В информационной системе должно осуществляться реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти. Реагирование на сбои при регистрации событий безопасности должно предусматривать: предупреждение (сигнализация, индикация) администраторов о сбоях (аппаратных и программных ошибках, сбоях в механизмах сбора информации и достижении предела или переполнения объема (емкости) памяти) при регистрации событий безопасности; реагирование на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключение записи информации о событиях безопасности от части элементов информационной системы, запись поверх устаревших хранимых записей событий безопасности.

Требования к усилению РСБ.4: 1) в информационной системе обеспечивается выдача предупреждения администратору при заполнении объема памяти для хранения информации о событиях безопасности: а) более, чем на 90%; б) более, чем на 70%. 2) в информационной системе обеспечивается выдача предупреждения администратору в масштабе времени, близком к реальному, при наступлении критичных сбоев в механизмах сбора информации, определенных оператором; 3) производительность механизмов регистрации (аудита) трафика должна быть рассчитана так, чтобы не оказывать негативного влияния на работу информационной системы; 4) в информационной системе обеспечивается запрет обработки информации в случае аппаратных или программных ошибок, сбоев в механизмах сбора информации или достижения предела или переполнения объема (емкости) памяти.

Содержание базовой меры РСБ.4:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 РСБ.4 + + + + Усиление РСБ.4 1, 2, 4

РСБ.5 МОНИТОРИНГ (ПРОСМОТР, АНАЛИЗ) РЕЗУЛЬТАТОВ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ И РЕАГИРОВАНИЕ НА НИХ

Требования к реализации РСБ.5: В организации должен осуществляться мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них. Мониторинг (просмотр и анализ) записей регистрации (аудита) должен проводиться для всех событий, подлежащих регистрации в соответствии с РСБ.1, и с периодичностью, установленной оператором, и обеспечивающей своевременное выявление признаков инцидентов безопасности в информационной системе. По результатам проведения мониторинга (просмотра и анализа) записей регистрации (аудита) должна разрабатываться отчетность с результатами его проведения.

Требования к усилению РСБ.5: 1) в информационной системе должен обеспечиваться мониторинг (просмотр и анализ) записей регистрации (аудита): а) периодически, с периодом, определяемым оператором; б) постоянно. 2) в информационной системе должен обеспечиваться интеграция результатов мониторинга (просмотра и анализа) записей регистрации (аудита) из разных источников (хранилищ информации о событиях безопасности) и их корреляция с целью выявления инцидентов безопасности и реагирования на них; 3) в информационной системе обеспечивается интеграция процессов мониторинга (просмотра, анализа) результатов регистрации событий безопасности с результатами анализа уязвимостей, проводимого в соответствии с АНЗ.1, и результатами обнаружения вторжений, проводимого в соответствии с СОВ.1 с целью усиления возможностей по выявлению признаков инцидентов безопасности; 4) в информационной системе обеспечивается полнотекстовый анализ привилегированных команд.

Содержание базовой меры РСБ.5:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 РСБ.5 + + + + Усиление РСБ.5 1а 1б, 2

РСБ.6 ГЕНЕРИРОВАНИЕ ВРЕМЕННЫХ МЕТОК И (ИЛИ) СИНХРОНИЗАЦИЯ СИСТЕМНОГО ВРЕМЕНИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Требования к реализации РСБ.6: В информационной системе должно осуществляться генерирование надежных меток времени и (или) синхронизация системного времени. Получение меток времени, включающих дату и время, используемых при генерации записей регистрации (аудита) событий безопасности в информационной системе достигается посредствам применения внутренних системных часов информационной системы.

Требования к усилению РСБ.6: 1) в информационной системе должна выполняться синхронизация системного времени в информационной системе, в том числе должен быть определен источник времени, используемый в качестве эталона, и должна быть 64

определена периодичность синхронизации системного времени в информационной системе; 2) в информационной системе должен быть определен доверенный источник времени.

Содержание базовой меры РСБ.6:

Меры защиты информации Класс защищенности информационной системы 4 3 2 1 РСБ.6 + + + + Усиление РСБ.6 1. 2 1, 2

РСБ.7 ЗАЩИТА ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ

Требования к реализации РСБ.7: В информационной системе должна обеспечиваться защита информации о событиях безопасности. Защита информации о событиях безопасности (записях регистрации (аудита)) обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, определенных в соответствии с настоящим методическим документом, и в том числе включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий. Доступ к записям аудита и функциям управления механизмами регистрации (аудита) должен предоставляться только уполномоченным должностным лицам.

Требования к усилению РСБ.7: 1) в информационной системе обеспечивается резервное копирование записей регистрации (аудита); 2) в информационной системе обеспечивается резервное копирование записей регистрации (аудита) на носители однократной записи (неперезаписываемые носители информации); 3) в информационной системе для обеспечения целостности информации о событиях безопасности должны применяться в соответствии с законодательством Российской Федерации криптографические методы; 4) оператор предоставляет доступ к записям регистрации событий безопасности (аудита) ограниченному кругу администраторов.

Содержание базовой меры РСБ.7:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 РСБ.7 + + + + Усиление РСБ.7 1 1

РСБ.8 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ПРОСМОТРА И АНАЛИЗА ИНФОРМАЦИИ О ДЕЙСТВИЯХ ОТДЕЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Требования к реализации РСБ.8: В информационной системе должна иметься возможность просмотра и анализа информации о действиях отдельных пользователей в информационной системе. Сведения о действиях отдельных пользователей в информационной системе должны предоставляться уполномоченным должностным лицам для просмотра и анализа с целью расследования причин возникновения инцидентов в информационной системе в соответствии с законодательством Российской Федерации.

Требования к усилению РСБ.8: 1) в информационной системе должна быть обеспечена возможность автоматизированной обработки записей регистрации (аудита) событий безопасности на основе критериев избирательности.

Содержание базовой меры РСБ.8:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 РСБ.8 Усиление РСБ.8 66

3.6. АНТИВИРУСНАЯ ЗАЩИТА (АВЗ)

АВЗ.1 РЕАЛИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ

Требования к реализации АВЗ.1:

Оператором обеспечивается антивирусная защита информационной системы.

Реализация антивирусной защиты должна предусматривать:

применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы);
установку, конфигурирование и управление средствами антивирусной защиты;
предоставление доступа средствам антивирусной защиты к объектам информационной системы, которые должны быть подвергнуты проверке средством антивирусной защиты;
проведение периодических проверок объектов информационной системы (автоматизированных рабочих мест, серверов, других средств вычислительной техники) на наличие вредоносных компьютерных программ (вирусов);
проверка в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов;
оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов);
определение действий при обнаружении в информационной системе объектов, подвергшихся заражению вредоносными компьютерными программами (вирусами).

Требования к усилению АВЗ.1:

1) в информационной системе должно обеспечиваться предоставление прав по управлению (администрированию) средствами антивирусной защиты администратору безопасности;
2) в информационной системе должно обеспечиваться централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на элементах информационной системы (серверах, автоматизированных рабочих местах);
3) оператором должен обеспечиваться запрет использования съемных машинных носителей информации;
4) в информационной системе должно обеспечиваться использование на разных уровнях информационной системы средств антивирусной защиты разных производителей;
5) в информационной системе должны обеспечиваться проверка работоспособности, актуальность базы данных признаков компьютерных вирусов и версии программного обеспечения средств антивирусной защиты;
6) в информационной системе должна обеспечиваться проверка объектов файловой системы средством антивирусной защиты до загрузки операционной системы;
7) в информационной системе должна обеспечиваться регистрация событий о неуспешном обновлении базы данных признаков вредоносных компьютерных программ (вирусов).

Содержание базовой меры АВЗ.1:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
АВЗ.1	+	+	+	+
Усиление АВЗ.1		1	1,2	1,2

АВЗ.2 ОБНОВЛЕНИЕ БАЗЫ ДАННЫХ ПРИЗНАКОВ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ (ВИРУСОВ)

Требования к реализации АВЗ.2:

Оператором должно быть обеспечено обновление базы данных признаков вредоносных компьютерных программ (вирусов).

Обновление базы данных признаков вредоносных компьютерных программ (вирусов) должно предусматривать:

получение уведомлений о необходимости обновлений и непосредственном обновлении базы данных признаков вредоносных компьютерных программ (вирусов);
получение из доверенных источников и установка обновлений базы данных признаков вредоносных компьютерных программ (вирусов);
контроль целостности обновлений базы данных признаков вредоносных компьютерных программ (вирусов).

Требования к усилению АВЗ.2:

1) в информационной системе должно обеспечиваться централизованное управление обновлением базы данных признаков вредоносных компьютерных программ (вирусов);
2) в информационной системе должно обеспечиваться автоматическое обновление базы данных признаков вредоносных компьютерных программ (вирусов) на всех компонентах информационной системы;
3) в информационной системе должен обеспечиваться запрет изменений настроек системы обновления базы данных признаков вредоносных компьютерных программ (вирусов) на автоматизированных рабочих местах и серверах.

Содержание базовой меры АВЗ.2:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
АВЗ.2	+	+	+	+
Усиление АВЗ.2			1	1

3.7. ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ (СОВ)

СОВ.1 ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ

Требования к реализации СОВ.1:

Оператором обеспечивается обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней, с использованием систем обнаружения вторжений.

Применяемые системы обнаружения вторжений должны включать компоненты регистрации событий безопасности (датчики), компоненты анализа событий безопасности и распознавания компьютерных атак (анализаторы) и базу решающих правил, содержащую информацию о характерных признаках компьютерных атак.

Обнаружение (предотвращение) вторжений должно осуществляться на внешней границе информационной системы (системы обнаружения вторжений уровня сети) и (или) на внутренних узлах (системы обнаружения вторжений уровня узла) сегментов информационной системы (автоматизированных рабочих местах, серверах и иных узлах), определяемых оператором.

Права по управлению (администрированию) системами обнаружения вторжений должны предоставляться только уполномоченным должностным лицам.

Системы обнаружения вторжений должны обеспечивать реагирование на обнаруженные и распознанные компьютерные атаки с учетом особенностей функционирования информационных систем.

Применяемые системы обнаружения вторжений для защиты прикладных систем должны осуществлять обнаружение (предотвращение) вторжений, реализуемых на прикладном уровне базовой эталонной модели взаимосвязи открытых систем.

Требования к усилению СОВ.1:

1) оператором обеспечивается применение систем обнаружения вторжений уровня сети, обеспечивающих сбор и анализ информации об информационных потоках, передаваемых в рамках сегмента (сегментов) информационной системы;
2) в информационной системе обеспечивается централизованное управление (администрирование) компонентами системы обнаружения вторжений, установленными в различных сегментах информационной системы;
3) обнаружение и реагирование (уведомление администратора безопасности, блокирование трафика и иные действия по реагированию) на компьютерные атаки в масштабе времени, близком к реальному;
4) защита информации, собранной и сгенерированной системой обнаружения вторжений, от несанкционированного доступа, модификации и удаления;
5) оператором информационной системы обеспечивается применение систем обнаружения вторжений уровня узла на автоматизированных рабочих местах и серверах информационной системы.

Содержание базовой меры СОВ.1:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
СОВ.1			+	+
Усиление СОВ.1			2	2

СОВ.2 ОБНОВЛЕНИЕ БАЗЫ РЕШАЮЩИХ ПРАВИЛ

Требования к реализации СОВ.2:

Оператором должно обеспечиваться обновление базы решающих правил системы обнаружения вторжений, применяемой в информационной системе.

Обновление базы решающих правил системы обнаружения вторжений должно предусматривать:

получение уведомлений о необходимости обновлений и непосредственном обновлении базы решающих правил;
получение из доверенных источников и установка обновлений базы решающих правил;
контроль целостности обновлений базы решающих правил.

Требования к усилению СОВ.2:

1) в информационной системе должно обеспечиваться централизованное управление обновлением базы решающих правил системы обнаружения вторжений;
2) в информационной системе должна обеспечиваться возможность редактирования базы решающих правил (добавление и (или) исключение решающих правил) со стороны уполномоченных должностных лиц (администраторов) для предотвращения наиболее актуальных компьютерных атак и (или) сокращения нагрузки на информационную систему, а также минимизации ложных срабатываний системы обнаружения вторжений;
3) оператором информационной системы устанавливается порядок редактирования базы решающих правил. В случае редактирования базы решающих правил запись об этом событии с указанием произведенных изменений фиксируется в соответствующем журнале регистрации событий безопасности.

Содержание базовой меры СОВ.2:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
СОВ.2			+	+
Усиление СОВ.2				1,2,3

3.8. КОНТРОЛЬ (АНАЛИЗ) ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ (АНЗ)

АНЗ.1 ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации АНЗ.1: Оператором должны осуществляться выявление (поиск), анализ и устранение уязвимостей в информационной системе.

При выявлении (поиске), анализе и устранении уязвимостей в информационной системе должны проводиться:

выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации,

правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;

разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;
анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации;
устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств;
информирование должностных лиц оператора (пользователей, администраторов, подразделения по защите информации) о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты информации.

В качестве источников информации об уязвимостях используются опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.

Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью, установленной оператором. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в информационной системе.

В случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств необходимо предпринять действия (настройки средств защиты информации, изменение режима и порядка использования информационной системы), направленные на устранение возможности указанных выше уязвимостей.

Требования к усилению АНЗ.1:

1) оператором обеспечивается использование для выявления (поиска) уязвимостей средств анализа (контроля) защищенности (сканеров безопасности), имеющих стандартизованные (унифицированные) в соответствии с национальными стандартами описание и перечни программно-аппаратных платформ, уязвимостей программного обеспечения, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования информационной системы на наличие уязвимостей, оценки последствий уязвимостей, имеющих возможность оперативного обновления базы данных выявляемых уязвимостей;
2) оператор должен уточнять перечень сканируемых в информационной системе уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;
3) оператором определяется информация об информационной системе, которая может стать известной нарушителям и использована ими для эксплуатации уязвимостей (в том числе уязвимостей «нулевого дня» - уязвимостей, описание которых отсутствует в базах данных разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств), и принимаются меры по снижению (исключению) последствий от эксплуатации нарушителями неустранимых уязвимостей;
4) оператором предоставляется доступ только администраторам к функциям выявление (поиск) уязвимостей (предоставление такой возможности только администраторам безопасности);
5) оператором применяются автоматизированные средства для сравнения результатов сканирования уязвимостей в разные периоды времени для анализа изменения количества и классов (типов) уязвимостей в информационной системе;
6) оператором применяются автоматизированные средства для обнаружения в информационной системе неразрешенного программного обеспечения (компонентов программного обеспечения) и уведомления об этом уполномоченных должностных лиц (администратора безопасности);
7) оператором проводится анализ журналов регистрации событий безопасности (журнала аудита) в целях определения, были ли выявленные уязвимости ранее использованы в информационной системе для нарушения

безопасности информации;

8) оператором обеспечивается проведение выявления уязвимостей «нулевого дня», о которых стало известно, но информация о которых не включена в сканеры уязвимостей;
9) оператором обеспечивается проведение выявления новых уязвимостей, информация о которых не опубликована в общедоступных источниках;

10) оператором должно осуществляться выявление (поиск) уязвимостей в информационной системе с использованием учетных записей на сканируемых ресурсах; 11) оператором должны осуществляться выявление (поиск) уязвимостей в информационной системе методом подбора паролей (метод «грубой силы») для учетных записей, не блокируемых согласно принятой парольной политике.

Содержание базовой меры АНЗ.1:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
АНЗ.1		+	+	+
Усиление АНЗ.1		1,4	1,2,4	1,2,4,7

АНЗ.2 КОНТРОЛЬ УСТАНОВКИ ОБНОВЛЕНИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Требования к реализации АНЗ.2:

Оператором должен осуществляться контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации.

При контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации, установленного в информационной системе и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений.

Контроль установки обновлений проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации и фиксируется в соответствующих журналах.

При контроле установки обновлений осуществляются проверки установки обновлений баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты в соответствии с АВЗ.2, баз решающих правил систем обнаружения вторжений в соответствии с СОВ.2, баз признаков уязвимостей средств анализа защищенности и иных баз данных, необходимых для реализации функций безопасности средств защиты информации.

Требования к усилению АНЗ.2:

1) оператором должна осуществляться проверка корректности функционирования обновлений в тестовой среде с обязательным оформлением результатов проверки в соответствующем журнале.

Содержание базовой меры АНЗ.2:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
АНЗ.2	+	+	+	+
Усиление АНЗ.2

АНЗ.3 КОНТРОЛЬ РАБОТОСПОСОБНОСТИ, ПАРАМЕТРОВ НАСТРОЙКИ И ПРАВИЛЬНОСТИ ФУНКЦИОНИРОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Требования к реализации АНЗ.3:

Оператором должен проводиться контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.

При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации осуществляется:

контроль работоспособности (неотключения) программного обеспечения и средств защиты информации;
проверка правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения и средств защиты информации, объем и содержание которой определяется оператором;
контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации;
восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов.

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором в организационно- распорядительных документах по защите информации.

Требования к усилению АНЗ.3:

1) в информационной системе должно обеспечиваться регистрация событий и оповещение (сигнализация, индикация) администратора безопасности о событиях, связанных с нарушением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации;
2) оператором в случае обнаружения нарушений работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации должен обеспечиваться перевод

информационной системы, сегмента или элемента информационной системы в режим ограничения обработки информации и (или) запрет обработки информации в информационной системе, сегменте или элементе информационной системы до устранения нарушений;

3) оператором должны использоваться автоматизированные средства, обеспечивающие инвентаризацию параметров настройки программного обеспечения и средств защиты информации и восстановление параметров настройки программного обеспечения и средств защиты информации.

Содержание базовой меры АНЗ.3:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
АНЗ.3		+	+	+
Усиление АНЗ.3			1	1,2

АНЗ.4 КОНТРОЛЬ СОСТАВА ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Требования к реализации АНЗ.4:

Оператором должен проводиться контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе.

При контроле состава технических средств, программного обеспечения и средств защиты информации осуществляется:

контроль соответствия состава технических средств, программного обеспечения и средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации информационной системы и принятие мер, направленных на устранение выявленных недостатков;
контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков;
контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков;
исключение (восстановление) из состава информационной системы несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.

Контроль состава технических средств, программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации.

Требования к усилению АНЗ.4:

1) в информационной системе должна обеспечиваться регистрация событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации;
2) оператором должны использоваться автоматизированные средства, обеспечивающие инвентаризацию технических средств, программного обеспечения и средств защиты информации.

Содержание базовой меры АНЗ.4:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
АНЗ.4		+	+	+
Усиление АНЗ.4			1	1,2

АНЗ.5 КОНТРОЛЬ ПРАВИЛ ГЕНЕРАЦИИ И СМЕНЫ ПАРОЛЕЙ ПОЛЬЗОВАТЕЛЕЙ, ЗАВЕДЕНИЯ И УДАЛЕНИЯ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ, РЕАЛИЗАЦИИ ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПОМ, ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Требования к реализации АНЗ.5:

Оператором должен проводиться контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.

При контроле правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе осуществляется:

контроль правил генерации и смены паролей пользователей в соответствии с ИАФ.1 и ИАФ.4;
контроль заведения и удаления учетных записей пользователей в соответствии с УПД.1;
контроль реализации правил разграничения доступом в соответствии с УПД.2;
контроль реализации полномочий пользователей в соответствии с УПД.4 и УПД.5;
контроль наличия документов, подтверждающих санкционирование изменение учетных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей, предусмотренных организационно-распорядительными документами по защите информации оператора;
устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступом, установлением полномочий

пользователей.

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации.

Требования к усилению АНЗ.5:

1) в информационной системе должна обеспечиваться регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей;
2) оператором должны использоваться автоматизированные средства, обеспечивающие контроль правил генерации и смены паролей пользователей, учетных записей пользователей, правил разграничения доступом и полномочий пользователей.

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
АНЗ.5		+	+	+
Усиление АНЗ.5			1	1

3.9. ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ИНФОРМАЦИИ (ОЦЛ)

ОЦЛ.1 КОНТРОЛЬ ЦЕЛОСТНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Требования к реализации ОЦЛ.1: В информационной системе должен осуществляться контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации. Контроль целостности программного обеспечения, включая программного обеспечения средств защиты информации, должен предусматривать: контроль целостности программного обеспечения средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и (или) по контрольным суммам компонентов средств защиты информации в процессе загрузки и (или) динамически в процессе работы информационной системы; контроль целостности компонентов программного обеспечения (за исключением средств защиты информации), определяемого оператором исходя из возможности реализации угроз безопасности информации, по наличию имен (идентификаторов) компонентов программного обеспечения и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы информационной системы; контроль применения средств разработки и отладки программ в составе программного обеспечения информационной системы; тестирование с периодичностью установленной оператором функций безопасности средств защиты информации, в том числе с помощью тест- программ, имитирующих попытки несанкционированного доступа, и (или) специальных программных средств, в соответствии с АНЗ.1 и АНЗ.2; обеспечение физической защиты технических средств информационной системы в соответствии с ЗТС.2 и ЗТС.3. В случае если функциональные возможности информационной системы должны предусматривать применение в составе ее программного обеспечения средств разработки и отладки программ, оператором обеспечивается выполнение процедур контроля целостности программного обеспечения после завершения каждого процесса функционирования средств разработки и отладки программ.

Требования к усилению ОЦЛ.1: 1) в информационной системе контроль целостности средств защиты информации должен осуществляться по контрольным суммам всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы; 81

2) в информационной системе должен обеспечиваться контроль целостности средств защиты информации с использованием криптографических методов в соответствии с законодательством Российской Федерации, всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы; 3) оператором исключается возможность использования средств разработки и отладки программ во время обработки и (или) хранения информации в целях обеспечения целостности программной среды; 4) оператором обеспечивается выделение рабочих мест с установленными средствами разработки и отладки программ в отдельный сегмент (тестовую среду); 5) оператором должно проводиться периодическое тестирование всех функций средств защиты информации, в том числе с помощью специальных программных средств, не реже одного раза в квартал; 6) в информационной системе должна обеспечиваться блокировка запуска программного обеспечения и (или) блокировка сегмента (компонента) информационной системы (автоматизированного рабочего места, сервера) в случае обнаружения фактов нарушения целостности.

Содержание базовой меры ОЦЛ.1:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОЦЛ.1 + + Усиление ОЦЛ.1 1, 3, 5 1, 3, 5, 6

ОЦЛ.2 КОНТРОЛЬ ЦЕЛОСТНОСТИ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В БАЗАХ ДАННЫХ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ОЦЛ.2: В информационной системе должен осуществляться контроль целостности информации, содержащейся в базах данных информационной системы. Контроль целостности информации, содержащейся в базах данных информационной системы, должен предусматривать: контроль целостности с периодичностью установленной оператором структуры базы данных по наличию имен (идентификаторов) и (или) по контрольным суммам программных компонент базы данных в процессе загрузки и (или) динамически в процессе работы информационной системы; контроль целостности с периодичностью установленной оператором объектов баз данных, определяемых оператором, по контрольным суммам и (или) с использованием криптографических методов в соответствии с 82

законодательством Российской Федерации в процессе загрузки и (или) динамически в процессе работы информационной системы; обеспечение физической защиты технических средств информационной системы, на которых установлена база данных, в соответствии с ЗТС.2 и ЗТС.3.

Требования к усилению ОЦЛ.2: 1) в информационной системе должны выполняться процедуры контроля целостности информации, содержащейся в базе данных, перед каждым запуском программного обеспечения доступа к базе данных; 2) в информационной системе должен обеспечиваться контроль целостности исполняемых модулей хранящихся в базах данных (например, хранимые процедуры, триггеры); 3) в информационной системе должна обеспечиваться блокировка запуска системы управления базы данных и (или) блокировка сегмента (компонента) информационной системы (автоматизированного рабочего места, сервера) в случае обнаружения фактов нарушения целостности; 4) контроль целостности структуры базы данных и контроль целостности информации, хранящейся в базе данных, с применением специальных программных автоматизированных средств контроля целостности.

Содержание базовой меры ОЦЛ.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОЦЛ.2

Усиление ОЦЛ.2

ОЦЛ.3 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ПРИ ВОЗНИКНОВЕНИИ НЕШТАТНЫХ СИТУАЦИЙ

Требования к реализации ОЦЛ.3: Оператором должна быть предусмотрена возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций. Для обеспечения возможности восстановления программного обеспечения в информационной системе должны быть приняты соответствующие планы по действиям персонала (администраторов безопасности, пользователей) при возникновении нештатных ситуаций. Возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций должна предусматривать: 83

восстановление программного обеспечения, включая программное обеспечение средств защиты информации, из резервных копий (дистрибутивов) программного обеспечения; восстановление и проверка работоспособности системы защиты информации, обеспечивающие необходимый уровень защищенности информации; возврат информационной системы в начальное состояние (до возникновения нештатной ситуации), обеспечивающее ее штатное функционирование, или восстановление отдельных функциональных возможностей информационной системы, определенных оператором, позволяющих решать задачи по обработке информации. Оператором применяются компенсирующие меры защиты информации в случаях, когда восстановление работоспособности системы защиты информации невозможно.

Требования к усилению ОЦЛ.3: 1) оператором обеспечивается восстановление отдельных функциональных возможностей информационной системы с применением резервированного программного обеспечения зеркальной информационной системы (сегмента информационной системы, технического средства, устройства) в соответствии с ОДТ.2 и ОДТ.4.

Содержание базовой меры ОЦЛ.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОЦЛ.3 + + + + Усиление ОЦЛ.3 1

ОЦЛ.4 ОБНАРУЖЕНИЕ И РЕАГИРОВАНИЕ НА ПОСТУПЛЕНИЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ НЕЗАПРАШИВАЕМЫХ ЭЛЕКТРОННЫХ СООБЩЕНИЙ (ПИСЕМ, ДОКУМЕНТОВ) И ИНОЙ ИНФОРМАЦИИ, НЕ ОТНОСЯЩИХСЯ К ФУНКЦИОНИРОВАНИЮ ИНФОРМАЦИОННОЙ СИСТЕМЫ (ЗАЩИТА ОТ СПАМА)

Требования к реализации ОЦЛ.4: Оператором обеспечивается обнаружение и реагирование на поступление незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама). Защита от спама реализуется на точках входа в информационную систему (выхода) информационных потоков (межсетевые экраны, почтовые серверы, Web-серверы, прокси-серверы и серверы удаленного доступа), а также на 84

автоматизированных рабочих местах, серверах и (или) мобильных технических средствах, подключенных к сетям связи общего пользования, для обнаружения и реагирования на поступление по электронной почте незапрашиваемых электронных сообщений (писем, документов) или в приложениях к электронным письмам. Защита от спама обеспечивается применением специализированных средств защиты, реализующих следующие механизмы защиты: фильтрация по содержимому электронных сообщений (писем, документов) с использованием критериев, позволяющих относить сообщения к спаму сигнатурным и (или) эвристическим методами; фильтрация на основе информации об отправителе электронного сообщения (с использованием «черных» списков (запрещенные отправители) и (или) «белых» списков (разрешенные отправители). Оператором должно осуществляться обновление базы «черных» («белых») списков и контроль целостности базы «черных» («белых») списков.

Требования к усилению ОЦЛ.4: 1) оператором обеспечивается централизованное управление средствами защиты от спама; 2) фильтрация на основе информации об отправителе электронного сообщения с использованием эвристических методов (например, «серые» списки серверов электронной почты, распознавание автоматически генерируемых имен отправителей и другие); 3) аутентификация отправителей электронных сообщений в соответствии с ИАФ.1, ИАФ.6, ИАФ.7; 4) аутентификация серверов электронной почты в соответствии с ИАФ.2, ИАФ.7.

Содержание базовой меры ОЦЛ.4:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОЦЛ.4 + + Усиление ОЦЛ.4

ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ (КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ОЦЛ.5: В информационной системе должен осуществляться контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы. Контроль содержания информации, передаваемой из информационной системы, должен предусматривать: выявление фактов неправомерной передачи защищаемой информации из информационной системы через сети связи общего пользования и реагирование на них; выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них; выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию и реагирование на них; выявление фактов неправомерного копирования защищаемой информации в прикладное программное обеспечение из буфера обмена и реагирование на них; контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах; выявление фактов хранения информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных почтовые архивы и иные ресурсы). Контроль содержания информации, передаваемой из информационной системы, осуществляется по цифровым отпечаткам информации, по регулярным выражениям и (или) по атрибутам безопасности (меткам безопасности) файлов.

Требования к усилению ОЦЛ.5: 1) в информационной системе должно осуществляться хранение всей передаваемой из информационной системы информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором; 2) в информационной системе должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием. 86

Содержание базовой меры ОЦЛ.5:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОЦЛ.5

Усиление ОЦЛ.5

ОЦЛ.6 ОГРАНИЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЕЙ ПО ВВОДУ ИНФОРМАЦИИ В ИНФОРМАЦИОННУЮ СИСТЕМУ

Требования к реализации ОЦЛ.6: В информационной системе должно осуществляться ограничение прав пользователей по вводу информации в информационную систему. Ограничение прав пользователей по вводу информации предусматривает ограничение по вводу в определенные типы объектов доступа (объекты файловой системы, объекты баз данных, объекты прикладного и специального программного обеспечения) информации исходя из задач и полномочий, решаемых пользователем в информационной системе. Ограничению прав пользователей по вводу информации в информационную систему должны реализовываться в соответствии с УПД.4 и УПД.5.

Требования к усилению ОЦЛ.6: 1) в информационной системе обеспечивается исключение возможности ввода пользователями информации в информационную систему, вследствие реализации ограничительных интерфейсов по вводу информации только через специальные формы прикладного программного обеспечения.

Содержание базовой меры ОЦЛ.6:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОЦЛ.6

Усиление ОЦЛ.6

ОЦЛ.7 КОНТРОЛЬ ТОЧНОСТИ, ПОЛНОТЫ И ПРАВИЛЬНОСТИ ДАННЫХ, ВВОДИМЫХ В ИНФОРМАЦИОННУЮ СИСТЕМУ

Требования к реализации ОЦЛ.7:В информационной системе должен осуществляться контроль точности, полноты и правильности данных, вводимых в информационную систему. Контроль точности, полноты и правильности данных, вводимых в информационную систему, обеспечивается путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию. Вводимые данные должны проверяться на наличие конструкций, которые могут быть интерпретированы программно-техническими средствами информационной системы как исполняемые команды.

Требования к усилению ОЦЛ.7: Не установлены.

Содержание базовой меры ОЦЛ.7:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОЦЛ.7

Усиление ОЦЛ.7

ОЦЛ.8 КОНТРОЛЬ ОШИБОЧНЫХ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ ПО ВВОДУ И (ИЛИ) ПЕРЕДАЧЕ ИНФОРМАЦИИ И ПРЕДУПРЕЖДЕНИЕ ПОЛЬЗОВАТЕЛЕЙ ОБ ОШИБОЧНЫХ ДЕЙСТВИЯХ

Требования к реализации ОЦЛ.8: В информационной системе должен осуществляться контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях. Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях должен предусматривать: определение оператором типов ошибочных действий пользователей, которые потенциально могут привести к нарушению безопасности информации в информационной системе; 88

генерирование сообщений для пользователей об их ошибочных действиях и о возможности нарушения безопасности информации в информационной системе для корректировки действий пользователей; регистрация информации об ошибочных действиях пользователей, которые могут привести к нарушению безопасности информации в информационной системе, в журналах регистрации событий безопасности в соответствии с РСБ.3; предоставление доступа к сообщениям об ошибочных действиях пользователей только администраторам.

Требования к усилению ОЦЛ.8: Не установлены.

Содержание базовой меры ОЦЛ.8:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОЦЛ.8

Усиление ОЦЛ.8

3.10. ОБЕСПЕЧЕНИЕ ДОСТУПНОСТИ ИНФОРМАЦИИ (ОДТ)

ОДТ.1 ИСПОЛЬЗОВАНИЕ ОТКАЗОУСТОЙЧИВЫХ ТЕХНИЧЕСКИХ СРЕДСТВ

Требования к реализации ОДТ.1: Оператором обеспечивается использование отказоустойчивых технических средств, предусматривающее: определение сегментов информационной системы, в которых должны применяться отказоустойчивые технические средства, обладающие свойствами сохранять свою работоспособность после отказа одного или нескольких их составных частей, и перечня таких средств исходя из требуемых условий обеспечения непрерывности функционирования информационной системы и доступности информации, установленных оператором; определение предельных (пороговых) значений характеристик (коэффициента) готовности, показывающего, какую долю времени от общего времени работы информационной системы техническое средство (техническое решение) находится в рабочем состоянии, и характеристик надежности (требуемое значение вероятности отказа в единицу времени) исходя из требуемых условий обеспечения непрерывности функционирования информационной системы и доступности информации, установленных оператором; применение в информационной системе технических средств с установленными оператором характеристиками (коэффициентом) готовности и надежности, обеспечивающие требуемые условия непрерывности функционирования информационной системы и доступности информации; контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств и реагирование на ухудшение значений данных характеристик (инициализация плана восстановления работоспособности и иные методы реагирования); замена технических средств, характеристики (коэффициенты) готовности и надежности которых достигли предельного значения. Оператором должно быть обеспечено определение требуемых характеристик (коэффициентов) надежности и готовности в соответствии с национальными стандартами.

Требования к усилению ОДТ.1: 1) оператор выводит из эксплуатации техническое средство путем передачи его функций другому (резервному) техническому средству до достижения первым предельных (пороговых) значений характеристик (коэффициентов) готовности и (или) надежности; 2) в информационной системе реализуется автоматическое оповещение (сигнализация) о достижения техническим средством предельных (пороговых) значений характеристик (коэффициентов) готовности и надежности (степень достижения предельных значений определяется оператором); 90

3) в информационной системе реализуется автоматическое оповещение (сигнализация) о достижения техническим средством предельных (пороговых) значений характеристик загрузки.

Содержание базовой меры ОДТ.1:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОДТ.1 + Усиление ОДТ.1

ОДТ.2 РЕЗЕРВИРОВАНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, КАНАЛОВ ПЕРЕДАЧИ ИНФОРМАЦИИ, СРЕДСТВ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ОДТ.2: Оператором обеспечивается резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы, предусматривающее: определение сегментов информационной системы, в которых должно осуществляться резервирование технических средств, программного обеспечения, каналов передачи информации и средств обеспечения функционирования, а также перечня резервируемых средств исходя из требуемых условий обеспечения непрерывности функционирования информационной системы и доступности информации, установленных оператором; применение резервных (дублирующих) технических средств, программного обеспечения, каналов передачи информации и (или) средств обеспечения функционирования информационной системы, обеспечивающих требуемые условия непрерывности функционирования информационной системы и доступности информации; ввод в действие резервного технического средства, программного обеспечения, канала передачи информации или средства обеспечения функционирования при нарушении требуемых условий непрерывности функционирования информационной системы и доступности информации. Резервирование технических средств в зависимости от требуемых условий обеспечения непрерывности функционирования информационной системы и доступности информации включает ненагруженное («холодное») и (или) нагруженное («горячее») резервирование. При резервировании программного обеспечения осуществляется создание резервных копий общесистемного, специального и прикладного программного обеспечения, а также программного обеспечения средств защиты информации, 91

необходимых для обеспечения требуемых условий непрерывности функционирования информационной системы и доступности информации. Резервирование каналов передачи информации включает: резервирование каналов связи, обеспечивающее снижение вероятности отказа в доступе к информационной системе; наличие у основных и альтернативных поставщиков телекоммуникационных услуг (провайдеров) информационной системы планов по восстановлению связи при авариях и сбоях, с указанием времени восстановления. Резервирование средств обеспечения функционирования информационной системы включает: использование кратковременных резервных источников питания для обеспечения правильного (корректного) завершения работы сегмента информационной системы (технического средства, устройства) в случае отключения основного источника питания; использование долговременных резервных источников питания в случае длительного отключения основного источника питания и необходимости продолжения выполнения сегментом информационной системы (техническим средством, устройством) установленных функциональных (задач); определение перечня энергозависимых технических средств, которым необходимо обеспечить наличие резервных источников питания (кратковременных и долговременных).

Требования к усилению ОДТ.2: 1) в информационной системе должно обеспечиваться резервирование автоматизированных рабочих мест, на которых обрабатывается информация (совокупности технических средств, установленного программного обеспечения, средств защиты информации и параметров настройки), в том числе предусматривающее: пространственное (географическое) отделение резервных автоматизированных рабочих мест от основных мест обработки информации, с учетом возможных угроз нарушения доступности информации; конфигурацию резервных мест обработки информации, предусматривающую минимально требуемые эксплуатационные возможности рабочего места; разработку оператором процедур обеспечения требуемых условий обеспечения непрерывности функционирования информационной системы и доступности информации в случае нарушения функционирования (сбоев, аварий) резервных мест обработки информации; ограничение времени обработки информации на резервном рабочем месте до времени восстановления функционирования основного рабочего места; 92

2) в информационной системе должно обеспечиваться предоставление резервных каналов связи от альтернативных поставщиков телекоммуникационных услуг (провайдеров), отличных от поставщиков (провайдеров) основных каналов связи; 3) в информационной системе должно обеспечиваться использование резервных каналов связи, проходящих по трассам отличным, от трасс прохождения основных каналов связи; 4) в информационной системе должно обеспечиваться использование резервных (отделенных от основных) телекоммуникационных сервисов, обеспечивающих доступность информации, до восстановления доступности основных телекоммуникационных сервисов поставщиком телекоммуникационных услуг (провайдером).

Содержание базовой меры ОДТ.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОДТ.2

Усиление ОДТ.2

ОДТ.3 КОНТРОЛЬ БЕЗОТКАЗНОГО ФУНКЦИОНИРОВАНИЯ ТЕХНИЧЕСКИХ СРЕДСТВ, ОБНАРУЖЕНИЕ И ЛОКАЛИЗАЦИЯ ОТКАЗОВ ФУНКЦИОНИРОВАНИЯ, ПРИНЯТИЕ МЕР ПО ВОССТАНОВЛЕНИЮ ОТКАЗАВШИХ СРЕДСТВ И ИХ ТЕСТИРОВАНИЕ

Требования к реализации ОДТ.3: Оператором должен осуществляться контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование. Контроль безотказного функционирования проводится в отношении серверного и телекоммуникационного оборудования, каналов связи, средств обеспечения функционирования информационной системы путем периодической проверки работоспособности в соответствии с эксплуатационной документацией (в том числе путем посылки тестовых сообщений и принятия «ответов», визуального контроля, контроля трафика, контроля «поведения» системы или иными методами). При обнаружении отказов функционирования осуществляется их локализация и принятие мер по восстановлению отказавших средств в соответствии с ОЦЛ.3, их тестирование в соответствии с эксплуатационной документацией, а также регистрация событий, связанных с отказами функционирования, в соответствующих журналах.

Требования к усилению ОДТ.3: 1) в информационной системе должна быть обеспечена сигнализация (уведомление) о неисправностях, сбоях и отказах в функционировании программно-технических средств информационной системы; 2) оператором должна обеспечиваться регистрация сбоев и отказов в функционировании технических средств информационной системы; 3) в информационной системе должны применяться программные средства мониторинга технического состояния информационной системы, осуществляющие мониторинг отказов программных и программно-технических средств в соответствии с перечнем, определенным оператором.

Базовый набор ОДТ.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОДТ.3 + + Усиление ОДТ.3

ОДТ.4 ПЕРИОДИЧЕСКОЕ РЕЗЕРВНОЕ КОПИРОВАНИЕ ИНФОРМАЦИИ НА РЕЗЕРВНЫЕ МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ

Требования к реализации ОДТ.4: Оператором обеспечивается периодическое резервное копирование информации на резервные машинные носители информации, предусматривающее: резервное копирование информации на резервные машинные носители информации с установленной оператором периодичностью; разработку перечня информации (типов информации), подлежащей периодическому резервному копированию на резервные машинные носители информации; регистрацию событий, связанных с резервным копированием информации на резервные машинные носители информации; принятие мер для защиты резервируемой информации, обеспечивающих ее конфиденциальность, целостность и доступность.

Требования к усилению ОДТ.4: 1) оператором должна осуществляться с установленной им периодичностью проверка работоспособности средств резервного копирования, средств хранения резервных копий и средств восстановления информации из резервных копий (периодичность проверки работоспособности определяется оператором); 94

2) оператором должно осуществляться хранение (размещение) резервных копий информации на отдельных (размещенных вне информационной системы) средствах хранения резервных копий и в помещениях, специально предназначенных для хранения резервных копий информации, которые исключают воздействие внешних факторов на хранимую информацию; 3) оператором должно осуществляться резервное копирование информации на зеркальную информационную систему (сегмент информационной системы, техническое средство, устройство); 4) оператором должна обеспечиваться соответствующая пропускная способность каналов связи, используемых для передачи резервных копий в процессе их создания или восстановления информации, для достижения требуемых условий обеспечения непрерывности функционирования информационной системы и доступности информации; 5) оператором должно осуществляться пространственное (географическое) разнесение мест хранения носителей резервных копий информации и мест расположения оригиналов этой информации.

Содержание базовой меры ОДТ.4:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОДТ.4

+ +

Усиление ОДТ.4

1, 2 1, 3

ОДТ.5 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ С РЕЗЕРВНЫХ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (РЕЗЕРВНЫХ КОПИЙ) В ТЕЧЕНИЕ УСТАНОВЛЕННОГО ВРЕМЕННОГО ИНТЕРВАЛА

Требования к реализации ОДТ.5: Оператором должноа быть обеспечена возможность восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного оператором временного интервала. Восстановление информации с резервных машинных носителей информации (резервных копий) должно предусматривать: определение времени, в течение которого должно быть обеспечено восстановление информации и обеспечивающего требуемые условия непрерывности функционирования информационной системы и доступности информации; восстановление информации с резервных машинных носителей информации (резервных копий) в течение установленного оператором временного интервала; 95

регистрация событий, связанных восстановлением информации с резервных машинных носителей информации.

Требования к усилению ОДТ.5: 1) оператором должна обеспечиваться возможность восстановления информации с учетом нагруженного («горячего») резервирования технических средств в соответствии с ОДТ.2; 2) в информационной системе должно осуществляться предоставление пользователям резервных мест обработки информации в соответствии с ОДТ.2 до восстановления из резервных копий информации и обеспечения ее доступности на основных местах обработки информации.

Содержание базовой меры ОДТ.5:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОДТ.5

+ +

Усиление ОДТ.5

ОДТ.6 КЛАСТЕРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ И (ИЛИ) ЕЕ СЕГМЕНТОВ

Требования к реализации ОДТ.6: В информационной системе обеспечивается выделение групп однотипных узлов, объединенных каналами передачи информации и рассматриваемых как единый программно- технический ресурс, информационной системы в целом и (или) отдельных ее сегментов (серверов приложений, файловых серверов, серверов баз данных, средств защиты информации и иных сегментов.) для обеспечения доступности информации, сервисов и механизмов защиты информации.

Требования к усилению ОДТ.6: 1) в информационной системе должна осуществляться кластеризация серверов контроллеров доменов, серверов резервного копирования, серверов управления и мониторинга состояния информационной системы, серверов виртуальной инфраструктуры и иных основных устройств и программного обеспечения системного уровня; 2) в информационной системе должна осуществляться кластеризация серверов приложений, файловых серверов, серверов баз данных, почтовых серверов и иных устройств и программного обеспечения прикладного уровня; 3) в информационной системе должна осуществляться кластеризация средств защиты информации (в случаях, когда это технически возможно), 96

включая средства межсетевого экранирования, средства защиты каналов передачи информации.

Содержание базовой меры ОДТ.6:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОДТ.6

Усиление ОДТ.6

ОДТ.7 КОНТРОЛЬ СОСТОЯНИЯ И КАЧЕСТВА ПРЕДОСТАВЛЕНИЯ УПОЛНОМОЧЕННЫМ ЛИЦОМ ВЫЧИСЛИТЕЛЬНЫХ РЕСУРСОВ (МОЩНОСТЕЙ), В ТОМ ЧИСЛЕ ПО ПЕРЕДАЧЕ ИНФОРМАЦИИ

Требования к реализации ОДТ.7: Оператором должен осуществляться контроль состояния и качества предоставления уполномоченным лицом (провайдером) вычислительных ресурсов (мощностей), в том числе по передаче информации, предусматривающий: контроль выполнения уполномоченным лицом требований о защите информации, установленных законодательством Российской Федерации и условиями договора (соглашения), на основании которого уполномоченное лицо обрабатывает информацию или предоставляет вычислительные ресурсы (мощности); мониторинг состояния и качества предоставления уполномоченным лицом (провайдером) вычислительных ресурсов (мощностей); мониторинг состояния и качества предоставления уполномоченным лицом (провайдером) услуг по передаче информации. Условия, права и обязанности, содержание и порядок контроля должны определяться в договоре (соглашении), заключаемом между оператором и уполномоченным лицом на предоставление вычислительных ресурсов (мощностей) или передачу информации с использованием информационно- телекоммуникационных сетей связи.

Требования к усилению ОДТ.7: 1) между оператором и поставщиком услуг (телекоммуникационных, вычислительных) должно заключаться соглашение об уровне услуг, содержащее описание услуг, прав и обязанностей сторон и согласованный уровень качества предоставляемых услуг в соответствии с законодательством Российской Федерации.

Содержание базовой меры ОДТ.7:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ОДТ.7

+ +

Усиление ОДТ.7

3.11. ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ (ЗСВ)

ЗСВ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ, В ТОМ ЧИСЛЕ АДМИНИСТРАТОРОВ УПРАВЛЕНИЯ СРЕДСТВАМИ ВИРТУАЛИЗАЦИИ

Требования к реализации ЗСВ.1: В информационной системе должны обеспечиваться идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации, в соответствии с ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7. Виртуальная инфраструктура включает среду виртуализации (программное обеспечение, служебные данные компонентов виртуальной инфраструктуры) и аппаратное обеспечение (аппаратные средства, необходимые для функционирования среды виртуализации, в том числе средства резервного копирования и защиты информации). В качестве компонентов виртуальной инфраструктуры необходимо, как минимум, рассматривать серверное оборудование, аппаратное обеспечение консолей управления, оборудование хранения данных, сетевое оборудование, гипервизор, хостовую операционную систему (если применимо), виртуальные машины, программную среду виртуальных машин (в том числе их операционные системы и программное обеспечение), виртуальное аппаратное обеспечение, виртуализированное программное обеспечение (виртуальные машины с предустановленным программным обеспечением, предназначенным для выполнения определенных функций в виртуальной инфраструктуре), программное обеспечение управления виртуальной инфраструктурой (в том числе гипервизором, настройками виртуальных машин, миграцией виртуальных машин, балансировкой нагрузки), служебные данные компонентов виртуальной инфраструктуры (настройки и иные служебные данные), средства резервного компонентов среды виртуализации и средства защиты информации, используемые в рамках виртуальных машин и виртуальной инфраструктуры в целом. В качестве объектов доступа в виртуальной инфраструктуре необходимо, как минимум, рассматривать программное обеспечение управления виртуальной инфраструктурой, гипервизор, хостовую операционную систему (если применимо), виртуальные машины, программную среду виртуальных машин (в том числе их операционные системы и программное обеспечение), виртуальные контейнеры (зоны), виртуализированное программное обеспечение (виртуальные машины с предустановленным программным обеспечением, предназначенная для выполнения определенных функций в виртуальной инфраструктуре), средства защиты информации, используемые в рамках виртуальных машин и виртуальной инфраструктуры в целом. 99

При реализации мер по идентификации и аутентификации субъектов доступа и объектов доступа в виртуальной инфраструктуре должны обеспечиваться: идентификация и аутентификация администраторов управления средствами виртуализации; идентификация и аутентификация субъектов доступа при их локальном и удалённом обращении к объектам доступа в виртуальной инфраструктуре; блокировка доступа к компонентам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации; защита аутентификационной информации субъектов доступа, хранящейся в компонентах виртуальной инфраструктуры от неправомерных доступа к ней, уничтожения или модифицирования; защита аутентификационной информации в процессе ее ввода для аутентификации в виртуальной инфраструктуре от возможного использования лицами, не имеющими на это полномочий; идентификация и аутентификация субъектов доступа при осуществлении ими попыток доступа к средствам управления параметрами аппаратного обеспечения виртуальной инфраструктуры. Внутри развернутых на базе виртуальной инфраструктуры виртуальных машин должна быть также обеспечена реализация мер по идентификации и аутентификации субъектов и объектов доступа в соответствии с ИАФ.1 – ИАФ.10.

Требования к усилению ЗСВ.1: 1) в информационной системе должны обеспечиваться взаимная идентификация и аутентификация пользователя и сервера виртуализации (виртуальных машин) при удалённом доступе.

Содержание базовой меры ЗСВ.1:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.1 + + + + Усиление ЗСВ.1

1 1

ЗСВ.2 УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ, В ТОМ ЧИСЛЕ ВНУТРИ ВИРТУАЛЬНЫХ МАШИН

Требования к реализации ЗСВ.2: В информационной системе должно обеспечиваться управление доступом субъектов доступа к объектам доступа, в 100

том числе внутри виртуальных машин, в соответствии с УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13. При реализации мер по управлению доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре должны обеспечиваться: контроль доступа субъектов доступа к средствам управления компонентами виртуальной инфраструктуры; контроль доступа субъектов доступа к файлам-образам виртуализированного программного обеспечения, виртуальных машин, файлам-образам, служебным данным, используемым для обеспечения работы виртуальных файловых систем, и иным служебным данным средств виртуальной среды; управление доступом к виртуальному аппаратному обеспечению информационной системы, являющимся объектом доступа; контроль запуска виртуальных машин на основе заданных оператором правил (режима запуска, типа используемого носителя и иных правил). Кроме того меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать: разграничение доступа субъектов доступа, зарегистрированных на виртуальных машинах, к объектам доступа, расположенным внутри виртуальных машин, в соответствии с правилами разграничения доступа пользователей данных виртуальных машин (потребителей облачных услуг); разграничение доступа субъектов доступа, зарегистрированных на виртуальных машинах, к ресурсам информационной системы, размещенным за пределами виртуальных машин, в соответствии с правилами разграничения доступа принятыми в информационной системе в целом.

Требования к усилению ЗСВ.2: 1) в информационной системе должен обеспечиваться доступ к операциям, выполняемым с помощью средств управления виртуальными машинами, в том числе к операциям создания, запуска, останова, создания копий, удаления виртуальных машин должен быть разрешен только администраторам виртуальной инфраструктуры; 2) в информационной системе должен обеспечиваться доступ к конфигурации виртуальных машин только администраторам виртуальной инфраструктуры; 3) администратор виртуальной инфраструктуры определяет ограничения по изменению состава устройств виртуальных машин, объема используемой оперативной памяти, подключаемых виртуальных и физических носителей информации; 4) контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора, в памяти хостовой операционной системы, виртуальных машин и (или) иных объектов доступа.

Содержание базовой меры ЗСВ.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.2 + + + + Усиление ЗСВ.2

1, 2 1, 2 1, 2

ЗСВ.3 РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ

Требования к реализации ЗСВ.3: В информационной системе должна обеспечиваться регистрация событий безопасности в виртуальной инфраструктуре в соответствии с РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5. При реализации мер по регистрации событий безопасности в виртуальной инфраструктуре дополнительно к событиям, установленным в РСБ.1, должны подлежать регистрации следующие события: запуск (завершение) работы компонентов виртуальной инфраструктуры; доступ субъектов доступа к компонентам виртуальной инфраструктуры; изменения в составе и конфигурации компонентов виртуальной инфраструктуры во время их запуска, функционирования и аппаратного отключения; изменений правил разграничения доступа к компонентам виртуальной инфраструктуры. При регистрации запуска (завершения) работы компонентов виртуальной инфраструктуры состав и содержание информации, подлежащей регистрации, должны включать дату и время запуска (завершения) работы гипервизора и виртуальных машин, хостовой операционной системы, программ и процессов в виртуальных машинах, результат запуска (завершения) работы указанных компонентов виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке запуска (завершения) работы указанных компонентов виртуальной инфраструктуры. При регистрации входа (выхода) субъектов доступа в компоненты виртуальной инфраструктуры состав и содержание информации, подлежащей регистрации, должны включать дату и время доступа субъектов доступа к гипервизору и виртуальной машине, к хостовой операционной системе, результат попытки доступа субъектов доступа к указанным компонентам виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке доступа субъектов доступа к указанным компонентам виртуальной инфраструктуры. При изменении в составе и конфигурации компонентов виртуальной инфраструктуры во время запуска, функционирования и в период её аппаратного отключения состав и содержание информации, подлежащей 102

регистрации, должны включать дату и время изменения в составе и конфигурации виртуальных машин, виртуального аппаратного обеспечения, виртуализированного программного обеспечения, виртуального аппаратного обеспечения в гипервизоре и в виртуальных машинах, в хостовой операционной системе, виртуальном сетевом оборудовании, результат попытки изменения в составе и конфигурации указанных компонентов виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке изменения в составе и конфигурации указанных компонентов виртуальной инфраструктуры. При изменении правил разграничения доступа к компонентам виртуальной инфраструктуры состав и содержание информации, подлежащей регистрации, должны включать дату и время изменения правил разграничения доступа к виртуальному и физическому аппаратному обеспечению, к файлам- образам виртуализированного программного обеспечения и виртуальных машин, к файлам-образам, используемым для обеспечения работы виртуальных файловых систем, к виртуальному сетевому оборудованию, к защищаемой информации, хранимой и обрабатываемой в гипервизоре и виртуальных машинах, в хостовой операционной системе, результат попытки изменения правил разграничения доступа к указанным компонентам виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке изменения правил разграничения доступа к указанным компонентам виртуальной инфраструктуры.

Требования к усилению ЗСВ.3: 1) в информационной системе должен обеспечиваться централизованный сбор, хранение и анализ информации о зарегистрированных событиях безопасности виртуальной инфраструктуры; 2) в информационной системе при регистрации запуска (завершения) работы компонентов виртуальной инфраструктуры состав и содержание информации, подлежащей регистрации, должны включать дату и время запуска (завершения) программ и процессов в гипервизоре и хостовой операционной системе; 3) в информационной системе должна обеспечиваться регистрация событий безопасности, связанных с перемещением и размещением виртуальных машин.

Содержание базовой меры ЗСВ.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.3

+ + +

Усиление ЗСВ.3

ЗСВ.4 УПРАВЛЕНИЕ (ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ, КОНТРОЛЬ СОЕДИНЕНИЯ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА) ПОТОКАМИ ИНФОРМАЦИИ МЕЖДУ КОМПОНЕНТАМИ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ, А ТАКЖЕ ПО ПЕРИМЕТРУ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ

Требования к реализации ЗСВ.4: В информационной системе должно осуществляться управление потоками информации между компонентами виртуальной инфраструктуры и по периметру виртуальной инфраструктуры в соответствии с УПД.3, ЗИС.3. При реализации мер по управлению потоками информации между компонентами виртуальной инфраструктуры должны обеспечиваться: фильтрация сетевого трафика между компонентами виртуальной инфраструктуры, в том числе между внешними по отношению к серверу виртуализации сетями и внутренними по отношению к серверу виртуализации сетями, в том числе при организации сетевого обмена с сетями связи общего пользования; обеспечение доверенных канала, маршрута внутри виртуальной инфраструктуры между администратором, пользователем и средствами защиты информации (функциями безопасности); автоматическое изменение маршрутов передачи сетевых пакетов между компонентами виртуальной инфраструктуры внутри гипервизора, сетевого трафика внутри виртуальной вычислительной сети; контроль передачи служебных информационных сообщений, передаваемых в виртуальных сетях гипервизора, хостовой операционной системы, по составу, объёму и иным характеристикам; отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры гипервизора, хостовой операционной системы, виртуальной вычислительной сети; обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов; обеспечение изоляции потоков данных, передаваемых и обрабатываемых компонентами виртуальной инфраструктуры (гипервизором, хостовой операционной системой) и сетевых потоков виртуальной вычислительной сети; семантический и статистический анализ сетевого трафика виртуальной вычислительной сети.

Требования к усилению ЗСВ.4: 1) в информационной системе, построенной с применением технологии виртуализации, должна быть обеспечена единая точка подключения к виртуальной инфраструктуре (при необходимости резервирования каналов связи, точка подключения должна рассматриваться как комплексное решение, 104

включающее в себя средства взаимодействия с основным и резервными каналами связи); 2) фильтрация сетевого трафика от (к) каждой гостевой операционной системы, в виртуальных сетях гипервизора и для каждой виртуальной машины; 3) в информационной системе должен обеспечиваться запрет прямого (с использованием механизмов, встроенных в средства виртуализации) взаимодействия виртуальных машин между собой; для служебных данных должен обеспечиваться контроль прямого взаимодействия виртуальных машин между собой; 4) в информационной системе в соответствии с законодательством Российской Федерации применяются криптографические методы защиты информации конфиденциального характера, передаваемой по виртуальным и физическим каналам связи гипервизора, хостовой операционной системы; 5) в информационной системе при реализации мер по управлению потоками информации между компонентами виртуальной инфраструктуры должны обеспечиваться семантический и статистический анализ сетевого трафика; 6) определение перечня протоколов и портов (включая динамически выделяемые порты), необходимых для работы приложений и сервисов в рамках виртуальной инфраструктуры; 7) определение перечня протоколов и портов (включая динамически выделяемые порты), необходимых для работы приложений и сервисов между виртуальной инфраструктурой и сетями, являющимися внешними по отношению к виртуальной инфраструктуре.

Содержание базовой меры ЗСВ.4:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.4

+ +

Усиление ЗСВ.4

1, 2

ЗСВ.5 ДОВЕРЕННАЯ ЗАГРУЗКА СЕРВЕРОВ ВИРТУАЛИЗАЦИИ, ВИРТУАЛЬНОЙ МАШИНЫ (КОНТЕЙНЕРА), СЕРВЕРОВ УПРАВЛЕНИЯ ВИРТУАЛИЗАЦИЕЙ

Требования к реализации ЗСВ.5: В информационной системе должны обеспечиваться доверенная загрузка серверов виртуализации, виртуальных машин (контейнеров) и серверов управления виртуализацией в соответствии с УПД.17. 105

Доверенная загрузка должна обеспечивать блокирование попыток несанкционированной загрузки гипервизора, хостовой и гостевых операционных систем. Доверенная загрузка гипервизоров обеспечивается с использованием средств доверенной загрузки функционирующих на серверах виртуализации. Доверенная загрузка виртуальных машин (контейнеров) обеспечивается с использованием многокомпонентных средств доверенной загрузки, отдельные компоненты которых функционируют в гипервизорах.

Требования к усилению ЗСВ.5: 1) должна обеспечиваться доверенная загрузка автоматизированных рабочих мест администраторов управления средствами виртуализации.

Содержание базовой меры ЗСВ.5:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.5

Усиление ЗСВ.5

ЗСВ.6 УПРАВЛЕНИЕ ПЕРЕМЕЩЕНИЕМ ВИРТУАЛЬНЫХ МАШИН (КОНТЕЙНЕРОВ) И ОБРАБАТЫВАЕМЫХ НА НИХ ДАННЫХ

Требования к реализации ЗСВ.6: Оператором должно обеспечиваться управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных. При управлении перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных должны обеспечиваться; регламентирование порядка перемещения (определение ответственных за организацию процесса, объектов перемещения, ресурсов инфраструктуры, задействованных в перемещении, а также способов перемещения); управление размещением и перемещением файлов-образов виртуальных машин (контейнеров) между носителями (системами хранения данных); управление размещением и перемещением исполняемых виртуальных машин (контейнеров) между серверами виртуализации; управление размещением и перемещением данных, обрабатываемых с использованием виртуальных машин, между носителями (системами хранения данных). Управление перемещением виртуальных машин (контейнеров) должно предусматривать: полный запрет перемещения виртуальных машин (контейнеров); 106

ограничение перемещения виртуальных машин (контейнеров) в пределах информационной системы (сегмента информационной системы); или ограничение перемещения виртуальных машин (контейнеров) между сегментами информационной системы. Оператором должно обеспечиваться перемещение виртуальных машин (контейнеров) и обрабатываемых на них данных в пределах информационной системы только на контролируемые им (или уполномоченным лицом) технические средства (сервера виртуализации, носители, системы хранения данных).

Требования к усилению ЗСВ.6: 1) оператором должно обеспечиваться перемещение виртуальных машин (контейнеров) и обрабатываемых на них данных в пределах информационной системы только на контролируемые им технические средства (сервера виртуализации, носители, системы хранения данных); 2) оператором должна осуществляться обработка отказов перемещения виртуальных машин (контейнеров) и обрабатываемых на них данных; 3) в информационной системе должны использоваться механизмы централизованного управления перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; 4) в информационной системе должна быть обеспечена непрерывность регистрации событий безопасности в виртуальных машинах (контейнерах) в процессе перемещения; 5) в информационной системе должна осуществляться очистка освобождаемых областей памяти на серверах виртуализации, носителях, системах хранения данных при перемещении виртуальных машин (контейнеров) и обрабатываемых на них данных.

Содержание базовой меры ЗСВ.6:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.6

+ +

Усиление ЗСВ.6

1 1, 2

ЗСВ.7 КОНТРОЛЬ ЦЕЛОСТНОСТИ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ И ЕЕ КОНФИГУРАЦИЙ

Требования к реализации ЗСВ.7: В информационной системе должен обеспечиваться контроль целостности компонентов виртуальной инфраструктуры в соответствии с ОЦЛ.1. При реализации мер по контролю целостности компонентов виртуальной инфраструктуры должны обеспечиваться: 107

контроль целостности компонентов, критически важных для функционирования хостовой операционной системы, гипервизора, гостевых операционных систем и (или) обеспечения безопасности обрабатываемой в них информации (загрузчика, системных файлов, библиотек операционной системы и иных компонентов); контроль целостности состава и конфигурации виртуального оборудования; контроль целостности файлов, содержащих параметры настройки виртуализированного программного обеспечения и виртуальных машин; контроль целостности файлов-образов виртуализированного программного обеспечения и виртуальных машин, файлов-образов, используемых для обеспечения работы виртуальных файловых систем (контроль файлов-образов должен проводиться во время, когда файлы-образы не задействованы). В информационной системе должен обеспечиваться контроль целостности резервных копий виртуальных машин (контейнеров).

Требования к усилению ЗСВ.7: 1) в информационной системе должен обеспечиваться контроль целостности базовой системы ввода-вывода вычислительных серверов и консолей управления виртуальной инфраструктуры; 2) в информационной системе должен обеспечиваться контроль целостности микропрограмм и служебных данных элементов аппаратной части виртуальной инфраструктуры (в том числе загрузочных записей машинных носителей информации); 3) контроль состава аппаратной части компонентов виртуальной инфраструктуры; 4) контроль целостности программного обеспечения облачных клиентов.

Содержание базовой меры ЗСВ.7:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.7

+ +

Усиление ЗСВ.7

3 1, 3 

108

ЗСВ.8 РЕЗЕРВНОЕ КОПИРОВАНИЕ ДАННЫХ, РЕЗЕРВИРОВАНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ, А ТАКЖЕ КАНАЛОВ СВЯЗИ ВНУТРИ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ

Требования к реализации ЗСВ.8: В информационной системе должны обеспечиваться резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры и каналов связи внутри виртуальной инфраструктуры в соответствии с ОДТ.2, ОДТ.4, ОДТ.5. При реализации мер по резервному копированию данных, резервированию технических средств, программного обеспечения виртуальной инфраструктуры должны обеспечиваться: определение мест хранения резервных копий виртуальных машин (контейнеров) и данных, обрабатываемых в виртуальной инфраструктуре; резервное копирование виртуальных машин (контейнеров); резервное копирование данных, обрабатываемых в виртуальной инфраструктуре; резервирование программного обеспечения виртуальной инфраструктуры; резервирование каналов связи, используемых в виртуальной инфраструктуре; периодическая проверка резервных копий и возможности восстановления виртуальных машин (контейнеров) и данных, обрабатываемых в виртуальной инфраструктуре с использованием резервных копий.

Требования к усилению ЗСВ.8: 1) в информационной системе должно выполняться резервное копирование конфигурации виртуальной инфраструктуры; 2) в информационной системе должно выполняться резервное копирование программного обеспечения серверов управления виртуализацией, автоматизированного рабочего места администратора управления средствами виртуализации; 3) в информационной системе должно выполняться резервирование дистрибутивов средств построения виртуальной инфраструктуры (в том числе средств управления виртуальной инфраструктурой); 4) в информационной системе должно обеспечиваться резервирование технических средств для серверов виртуализации, серверов управления виртуализацией, автоматизированного рабочего места администратора управления средствами виртуализации; 5) в информационной системе должно обеспечиваться резервирование технических средств систем хранения данных и их компонент, используемых в виртуальной инфраструктуре; 109

6) в информационной системе должно обеспечиваться резервирование технических средств активного (коммутационного) и пассивного оборудования каналов связи, используемых в виртуальной инфраструктуре; 7) в информационной системе должно обеспечиваться применение технологий распределенного хранения информации и восстановления информации после сбоев для обеспечения отказоустойчивости виртуальной инфраструктуры.

Содержание базовой меры ЗСВ.8:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.8

+ +

Усиление ЗСВ.8

1, 2, 3

ЗСВ.9 РЕАЛИЗАЦИЯ И УПРАВЛЕНИЕ АНТИВИРУСНОЙ ЗАЩИТОЙ В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ

Требования к реализации ЗСВ.9: В информационной системе должны обеспечиваться реализация и управление антивирусной защитой в виртуальной инфраструктуре в соответствии с АВЗ.1, АВЗ.2. При реализации мер по реализации и управлению антивирусной защитой в виртуальной инфраструктуре должны обеспечиваться: проверка наличия вредоносных программ (вирусов) в хостовой операционной системе, включая контроль файловой системы, памяти, запущенных приложений и процессов; проверка наличия вредоносных программ в гостевой операционной системе, в процессе ее функционирования, включая контроль файловой системы, памяти, запущенных приложений и процессов.

Требования к усилению ЗСВ.9: 1) в информационной системе должно обеспечиваться разграничение доступа к управлению средствами антивирусной защиты; 2) в информационной системе должен обеспечиваться контроль функционирования средств антивирусной защиты в виртуальной инфраструктуре, в том числе маршрутизация потоков информации в виртуальной инфраструктуре через средство антивирусной защиты; 3) в информационной системе должна обеспечиваться реализация технологии обновления программного обеспечения и баз данных признаков компьютерных вирусов средств антивирусной защиты, предусматривающая однократную передачу обновлений на сервер виртуальной инфраструктуры для их последующего применения в виртуальных машинах; 110

4) в информационной системе должна обеспечиваться проверка наличия вредоносных программ (вирусов) в гипервизоре; 5) в информационной системе должна обеспечиваться проверка наличия вредоносных программ в файлах конфигурации виртуального оборудования; 6) в информационной системе должна обеспечиваться проверка наличия вредоносных программ в файлах-образах виртуализированного программного обеспечения и виртуальных машин.

Содержание базовой меры ЗСВ.9:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.9

+ + +

Усиление ЗСВ.9

1 1

ЗСВ.10 РАЗБИЕНИЕ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ НА СЕГМЕНТЫ (СЕГМЕНТИРОВАНИЕ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ) ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ ОТДЕЛЬНЫМ ПОЛЬЗОВАТЕЛЕМ И (ИЛИ) ГРУППОЙ ПОЛЬЗОВАТЕЛЕЙ

Требования к реализации ЗСВ.10: В информационной системе должно обеспечиваться разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей в соответствии с ЗИС.17.

Требования к усилению ЗСВ.10: 1) в информационной системе должно обеспечиваться логическое сегментирование виртуальной инфраструктуры – выделение группы виртуальных машин, хранилищ информации и информационных потоков, предназначенных для решения выделенных (обособленных) задач; 2) в информационной системе должно обеспечиваться частичное физическое сегментирование виртуальной инфраструктуры, предусматривающее выделение в отдельный сегмент серверов виртуализации и функционирующих на них виртуальных машин, а также выделение хранилищ информации; 3) в информационной системе должно обеспечиваться полное физическое сегментирование виртуальной инфраструктуры, предусматривающее выделение в отдельный сегмент серверов виртуализации и функционирующих на них виртуальных машин, серверов управления виртуализацией, АРМ администратора управления средствами виртуализации, систем хранения данных и серверов хранения резервных копий. 111

Содержание базовой меры ЗСВ.10:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗСВ.10

+

Усиление ЗСВ.10

2 

112

3.12. ЗАЩИТА ТЕХНИЧЕСКИХ СРЕДСТВ (ЗТС)

ЗТС.1 ЗАЩИТА ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ ТЕХНИЧЕСКИМИ СРЕДСТВАМИ, ОТ ЕЕ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ

Требования к реализации ЗТС.1: Оператором обеспечивается защита информации, обрабатываемой техническими средствами, от ее утечки за счет побочных электромагнитных излучений и наводок. Защита информации от утечки по техническим каналам должна осуществляться в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТРК-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 г. № 282, а также иными методическими документами ФСТЭК России по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, от утечки по техническим каналам.

Требования к усилению ЗТС.1: Не установлены.

Содержание базовой меры ЗТС.1:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗТС.1

Усиление ЗТС.1

ЗТС.2 ОРГАНИЗАЦИЯ КОНТРОЛИРУЕМОЙ ЗОНЫ, В ПРЕДЕЛАХ КОТОРОЙ ПОСТОЯННО РАЗМЕЩАЮТСЯ СТАЦИОНАРНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА, ОБРАБАТЫВАЮЩИЕ ИНФОРМАЦИЮ, И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, А ТАКЖЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ

Требования к реализации ЗТС.2: Оператором должна обеспечиваться контролируемая зона, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования. Контролируемая зона включает пространство (территорию, здание, часть здания), в котором исключено неконтролируемое пребывание работников (сотрудников) оператора и лиц, не имеющих постоянного допуска на объекты информационной системы (не являющихся работниками оператора), а также транспортных, технических и иных материальных средств. 113

Границами контролируемой зоны могут являться периметр охраняемой территории, ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории. Границы контролируемой зоны устанавливаются в организационно-распорядительных документах по защите информации. Для одной информационной системы (ее сегментов) может быть организовано несколько контролируемых зон.

Требования к усилению ЗТС.2: Не установлены.

Содержание базовой меры ЗТС.2:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗТС.2 + + + + Усиление ЗТС.2

ЗТС.3 КОНТРОЛЬ И УПРАВЛЕНИЕ ФИЗИЧЕСКИМ ДОСТУПОМ К ТЕХНИЧЕСКИМ СРЕДСТВАМ, СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ, СРЕДСТВАМ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ, А ТАКЖЕ В ПОМЕЩЕНИЯ И СООРУЖЕНИЯ, В КОТОРЫХ ОНИ УСТАНОВЛЕНЫ, ИСКЛЮЧАЮЩИЕ НЕСАНКЦИОНИРОВАННЫЙ ФИЗИЧЕСКИЙ ДОСТУП К СРЕДСТВАМ ОБРАБОТКИ ИНФОРМАЦИИ, СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ И СРЕДСТВАМ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ПОМЕЩЕНИЯ И СООРУЖЕНИЯ, В КОТОРЫХ ОНИ УСТАНОВЛЕНЫ

Требования к реализации ЗТС.3: Оператором должны обеспечиваться контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены. Контроль и управление физическим доступом должны предусматривать: определение лиц, допущенных к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены; 114

санкционирование физического доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены; учет физического доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены.

Требования к усилению ЗТС.3: 1) оператором должны применяться автоматизированные системы контроля и управления доступом (СКУД), обеспечивающие контроль и учет физического доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены с учетом ГОСТ Р 51241-2008; 2) оператором должны применяться средства видеонаблюдения, обеспечивающие регистрацию доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены; 3) оператором обеспечивается интеграция системы контроля и управления доступом (СКУД) со средствами идентификации и аутентификации пользователей в информационной системе в соответствии с ИАФ.1, ИАФ.6 и средствами управления доступом в соответствии с УПД.2, УПД.10.

Содержание базовой меры ЗТС.3:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗТС.3 + + + + Усиление ЗТС.3

ЗТС.4 РАЗМЕЩЕНИЕ УСТРОЙСТВ ВЫВОДА (ОТОБРАЖЕНИЯ) ИНФОРМАЦИИ, ИСКЛЮЧАЮЩЕЕ ЕЕ НЕСАНКЦИОНИРОВАННЫЙ ПРОСМОТР

Требования к реализации ЗТС.4: Оператором должно осуществляться размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр. В качестве устройств вывода (отображения) информации в информационной системе следует рассматривать экраны мониторов автоматизированных рабочих мест пользователей, мониторы консолей управления технических средств (серверов, телекоммуникационного оборудования и иных технических средств), видеопанели, видеостены и другие средства визуального отображения защищаемой информации, печатающие 115

устройства (принтеры, плоттеры и иные устройства), аудиоустройства, многофункциональные устройства. Размещение устройств вывода (отображения, печати) информации должно исключать возможность несанкционированного просмотра выводимой информации, как из-за пределов контролируемой зоны, так и в пределах контролируемой зоны. Не следует размещать устройства вывода (отображения, печати) информации напротив оконных проемов, входных дверей, технологических отверстий, в коридорах, холлах и иных местах, доступных для несанкционированного просмотра.

Требования к усилению ЗТС.4: 1) оператором обеспечивается установка на окна помещений информационной системы средств, ограничивающих возможность визуального ознакомления с защищаемой информацией извне помещений (жалюзи, плотные шторы и иные средства), если в этих помещениях размещены устройства вывода информации на печать и (или) отображение информации на видеоустройства.

Содержание базовой меры ЗТС.4:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗТС.4 + + + + Усиление ЗТС.4

ЗТС.5 ЗАЩИТА ОТ ВНЕШНИХ ВОЗДЕЙСТВИЙ (ВОЗДЕЙСТВИЙ ОКРУЖАЮЩЕЙ СРЕДЫ, НЕСТАБИЛЬНОСТИ ЭЛЕКТРОСНАБЖЕНИЯ, КОНДИЦИОНИРОВАНИЯ И ИНЫХ ВНЕШНИХ ФАКТОРОВ)

Требования к реализации ЗТС.5: Оператором должна осуществляться защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов). Защита от внешних воздействий в соответствии с требованиями законодательства Российской Федерации (национальных стандартов, технических регламентов) должна предусматривать: выполнение норм и правил пожарной безопасности; выполнение норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления технических средств; 116

обеспечение необходимых для эксплуатации технических средств температурно-влажностного режима и условий по степени запыленности воздуха.

Требования к усилению ЗТС.5: Не установлены.

Содержание базовой меры ЗТС.5:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ЗТС.5 + Усиление ЗТС.5

3.13. ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ, ЕЕ СРЕДСТВ И СИСТЕМ СВЯЗИ И ПЕРЕДАЧИ ДАННЫХ (ЗИС)

ЗИС.1 РАЗДЕЛЕНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ФУНКЦИЙ ПО УПРАВЛЕНИЮ (АДМИНИСТРИРОВАНИЮ) ИНФОРМАЦИОННОЙ СИСТЕМОЙ, УПРАВЛЕНИЮ (АДМИНИСТРИРОВАНИЮ) СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ФУНКЦИЙ ПО ОБРАБОТКЕ ИНФОРМАЦИИ И ИНЫХ ФУНКЦИЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.1:

В информационной системе должно быть обеспечено разделение функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации (функций безопасности) и функциональных возможностей пользователей по обработке информации.

Функциональные возможности по управлению (администрированию) информационной системой и управлению (администрированию) системой защиты информации включают функции по управлению базами данных, прикладным программным обеспечением, телекоммуникационным оборудованием, рабочими станциями, серверами, средствами защиты информации и иные функции, требующие высоких привилегий.

Разделение функциональных возможностей обеспечивается на физическом и (или) логическом уровне путем выделения части программно-технических средств информационной системы, реализующих функциональные возможности по управлению (администрированию) информационной системой и управлению (администрированию) системой защиты информации, в отдельный домен, использования различных автоматизированных рабочих мест и серверов, различных типов операционной системы, разных способов аутентификации, различных сетевых адресов и (или) комбинаций данных способов, а также иными методами.

Требования к усилению ЗИС.1:

1) исключение отображения функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации в интерфейсе пользователя;
2) выделение автоматизированных рабочих мест для администраторов информационной системы;
3) выделение автоматизированных рабочих мест для администраторов безопасности.

Содержание базовой меры ЗИС.1:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.1			+	+
Усиление ЗИС.1			3	3

ЗИС.2 ПРЕДОТВРАЩЕНИЕ ЗАДЕРЖКИ ИЛИ ПРЕРЫВАНИЯ ВЫПОЛНЕНИЯ ПРОЦЕССОВ С ВЫСОКИМ ПРИОРИТЕТОМ СО СТОРОНЫ ПРОЦЕССОВ С НИЗКИМ ПРИОРИТЕТОМ

Требования к реализации ЗИС.2:

В информационной системе должно обеспечиваться предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов (служб, сервисов) с низким приоритетом, предусматривающее: * определение приоритетов процессов (служб, сервисов) для пользователей и (или) групп пользователей и (или) ролей в информационной системе;

выполнение процессов (служб, сервисов) в информационной системе с учетом их приоритета (в первую очередь должны выполняться процессы с более высоким приоритетом);
исключение задержки и (или вмешательства) в выполнение процессов (служб, сервисов) с более высоким приоритетом со стороны процессов (служб, сервисов) с более низким приоритетом.

Требования к усилению ЗИС.2:

1) в информационной системе должно обеспечиваться исключение возможности несанкционированного изменения приоритетов выполнения процессов.

Содержание базовой меры ЗИС.2:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.2
Усиление ЗИС.2

ЗИС.3 ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОТ РАСКРЫТИЯ, МОДИФИКАЦИИ И НАВЯЗЫВАНИЯ (ВВОДА ЛОЖНОЙ ИНФОРМАЦИИ) ПРИ ЕЕ ПЕРЕДАЧЕ (ПОДГОТОВКЕ К ПЕРЕДАЧЕ) ПО КАНАЛАМ СВЯЗИ, ИМЕЮЩИМ ВЫХОД ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ

Требования к реализации ЗИС.3:

Оператором должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны.

Защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации.

Требования к усилению ЗИС.3:

Не установлены.

Содержание базовой меры ЗИС.3:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.3	+	+	+	+
Усиление ЗИС.3

ЗИС.4 ОБЕСПЕЧЕНИЕ ДОВЕРЕННЫХ КАНАЛА, МАРШРУТА МЕЖДУ АДМИНИСТРАТОРОМ, ПОЛЬЗОВАТЕЛЕМ И СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ (ФУНКЦИЯМИ БЕЗОПАСНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ)

Требования к реализации ЗИС.4:

В информационной системе должны обеспечиваться доверенные маршруты передачи данных между администратором (пользователем) и средствами защиты информации (функциями безопасности средств защиты информации), определяемыми оператором.

Оператором должен быть определен перечень целей (функций) передачи данных, для которых требуется доверенный канал (маршрут).

Доверенный канал между пользователем и средствами защиты информации должен обеспечиваться при удаленном и локальном доступе в информационную систему.

Требования к усилению ЗИС.4:

Не установлены.

Содержание базовой меры ЗИС.4:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.4
Усиление ЗИС.4

ЗИС.5 ЗАПРЕТ НЕСАНКЦИОНИРОВАННОЙ УДАЛЕННОЙ АКТИВАЦИИ ВИДЕОКАМЕР, МИКРОФОНОВ И ИНЫХ ПЕРИФЕРИЙНЫХ УСТРОЙСТВ, КОТОРЫЕ МОГУТ АКТИВИРОВАТЬСЯ УДАЛЕННО, И ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЕЙ ОБ АКТИВАЦИИ ТАКИХ УСТРОЙСТВ

Требования к реализации ЗИС.5:

В информационной системе должны осуществляться запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств, в том числе путем сигнализации, индикации.

Запрет несанкционированной удаленной активации должен осуществляться в отношении всех периферийных устройств ввода (вывода) информации, которые имеют возможность управления (запуска, включения, выключения) через компоненты программного обеспечение, установленные на рабочем месте пользователя, коммуникационных сервисов сторонних лиц (провайдеров), (ICQ, Skype и иные сервисы).

Запрет несанкционированной удаленной активации должен осуществляться через физическое исключение такой возможности и (или) путем управления программным обеспечением.

В исключительных случаях для решения установленных оператором отдельных задач, решаемых информационной системой, допускается возможность удаленной активации периферийных устройств. При этом должно быть обеспечено определение перечня периферийных устройств, для которых допускается возможность удаленной активации и обеспечен контроль за активацией таких устройств.

Требования к усилению ЗИС.5:

1) в информационной системе должна обеспечиваться возможность физического отключения периферийных устройств (например, отключение при организации и проведении совещаний в помещениях, где размещены видеокамеры и микрофоны);
2) в информационной системе должна обеспечиваться возможность блокирования входящего и исходящего трафика от пользователей систем, предоставляющих внешние сервисы (например, системы видеоконференцсвязи), в которых конфигурации (настройки) сервисов для конечных пользователей устанавливаются провайдерами или самими пользователями;
3) оператором обеспечивается удаление (отключение) из информационной системы (отдельных сегментов, например расположенных в защищаемых и выделенных помещениях) периферийных устройств, перечень которых определяется оператором;
4) оператором обеспечивается запись и хранение в течение установленного времени информации, переданной (полученной) по каналам передачи информации при разрешенной удаленной активации периферийных устройств ввода (вывода) информации.

Содержание базовой меры ЗИС.5:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.5	+	+	+	+
Усиление ЗИС.5			1	1,2

ЗИС.6 ПЕРЕДАЧА И КОНТРОЛЬ ЦЕЛОСТНОСТИ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ, ПРИ ОБМЕНЕ ИНФОРМАЦИЕЙ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ

Требования к реализации ЗИС.6:

В информационной системе должна осуществляться передача, сопоставление (сравнение) атрибутов безопасности (меток безопасности) с информацией, которой она обменивается с иными (внешними) информационными системами.

Атрибуты безопасности могут сопоставляться с информацией, содержащейся в информационной системе, в явном или скрытом виде.

Меры по передаче и контролю целостности (сопоставлению, сравнению) атрибутов безопасности (меток безопасности) реализуются в соответствии с УПД.12.

Требования к усилению ЗИС.6:

1) в информационной системе должен обеспечиваться контроль целостности атрибутов безопасности (меток безопасности).

Содержание базовой меры ЗИС.6:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.6
Усиление ЗИС.6

ЗИС.7 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ МОБИЛЬНОГО КОДА, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА

Требования к реализации ЗИС.7:

Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий мобильного кода (активного контента) в информационной системе, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода.

Технология мобильного кода включает, в том числе использование Java, JavaScript, ActiveX, PDF, Postscript, Flash-анимация и VBScript и иных технологий.

При контроле использования технологий мобильного кода должно быть обеспечено:

определение перечня мобильного кода и технологий мобильного кода разрешенных и (или) запрещенных для использования в информационной системе;
определение разрешенных мест распространения (серверы информационной системы) и использования мобильного кода (автоматизированные рабочие места, мобильные технические средства информационной системы) и функций информационной системы, для которых необходимо применение технологии мобильного кода;
регистрация и анализ событий, связанных с разработкой, приобретением или внедрением технологии мобильного кода;
исключение возможности использования запрещенного мобильного кода в информационной системе, а также внедрение мобильного кода в местах, не разрешенных для его установки.

Процедуры контроля санкционированного и исключения несанкционированного использования технологий мобильного кода должны быть отражены в организационно-распорядительных документах по защите информации.

Требования к усилению ЗИС.7:

1) в информационной системе должны быть реализованы механизмы обнаружения и анализа мобильного кода для выявления фактов несанкционированного использования мобильного кода и выполнения действий по реагированию (оповещение администраторов, изоляция мобильного кода (перемещение в карантин), блокирование мобильного кода, удаление мобильного кода) и иные действия, определяемые оператором;
2) в информационной системе должен осуществляться запрет загрузки и выполнения запрещенного мобильного кода;
3) в информационной системе для приложений, определяемых оператором, должен осуществляться запрет автоматического выполнения разрешенного мобильного кода (уведомление пользователя о получении мобильного кода и запрос разрешения на запуск или иные действия определяемые оператором);
4) в информационной системе должен осуществляться контроль подлинности источника мобильного кода и целостности мобильного кода.

Содержание базовой меры ЗИС.7:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.7			+	+
Усиление ЗИС.7			1	1,2

ЗИС.8 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ

Требования к реализации ЗИС.8:

Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий передачи речи в информационной системе, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи.

При контроле использования технологий передачи речи должно быть обеспечено:

определение перечня технологий (сервисов) передачи речи разрешенных и (или) запрещенных для использования в информационной системе;
определение категорий пользователей, которым разрешены разработка, приобретение или внедрение технологий передачи речи;
реализация параметров настройки, исключающих возможность удаленной конфигурации устройств передачи речи;
регистрация и анализ событий, связанных с разработкой, приобретением и внедрением технологий передачи речи;
исключение возможности использования запрещенной технологии передачи речи в информационной системе, а также разработки, приобретения и внедрения технологий передачи речи пользователям, которым не разрешено ее

использование.

Технология передачи речи включает, в том числе, передачу речи через Интернет VoIP.

Процедуры контроля санкционированного и исключения несанкционированного использования технологий передачи речи должны быть отражены в организационно-распорядительных документах по защите информации.

Требования к усилению ЗИС.8: Не установлены.

Содержание базовой меры ЗИС.8:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.8			+	+
Усиление ЗИС.8

ЗИС.9 КОНТРОЛЬ САНКЦИОНИРОВАННОЙ И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОЙ ПЕРЕДАЧИ ВИДЕОИНФОРМАЦИИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ

Требования к реализации ЗИС.9: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий передачи видеоинформации в информационной системе, в том числе регистрация событий, связанных с использованием технологий передачи видеоинформации, их анализ и реагирование на нарушения, связанные с использованием технологий передачи видеоинформации. При контроле использования технологий передачи видеоинформации должно быть обеспечено: 125

определение перечня технологий (сервисов) передачи видеоинформации разрешенных и (или) запрещенных для использования в информационной системе; определение категорий пользователей, которым разрешены разработка, приобретение или внедрение технологий передачи видеоинформации; реализация параметров настройки, исключающих возможность удаленной конфигурации устройств передачи видеоинформации; регистрация и анализ событий, связанных с разработкой, приобретением и внедрением технологий передачи видеоинформации; исключение возможности использования запрещенной технологии передачи видеоинформации в информационной системе, а также разработки, приобретения и внедрения технологий передачи видеоинформации пользователям, которым не разрешено ее использование. Технология передачи видеоинформации включает, в том числе, применение технологий видеоконференцсвязи. Процедуры контроля санкционированного и исключения несанкционированного использования технологий передачи видеоинформации должны быть отражены в организационно-распорядительных документах по защите информации.

Требования к усилению ЗИС.9: Не установлены.

Содержание базовой меры ЗИС.9:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.9			+	+
Усиление ЗИС.9

ЗИС.10 ПОДТВЕРЖДЕНИЕ ПРОИСХОЖДЕНИЯ ИСТОЧНИКА ИНФОРМАЦИИ, ПОЛУЧАЕМОЙ В ПРОЦЕССЕ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ АДРЕСОВ ПО СЕТЕВЫМ ИМЕНАМ ИЛИ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ ИМЕН ПО СЕТЕВЫМ АДРЕСАМ

Требования к реализации ЗИС.10: В информационной системе должна обеспечиваться возможность подтверждения происхождения источника и целостности информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, в том числе с использованием DNS-серверов. При подтверждении происхождения источника должны обеспечиваться: 126

аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера, являющегося источником ответов на запросы (сервера доменных имен или DNS-сервер) по определению сетевых адресов (IP-адресов) по сетевым именам (доменные имена); аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера, являющегося источником ответов на запросы (кэширующий DNS-сервер) по определению сетевых имен (доменных имен) по сетевым адресам (IP-адресов).

Требования к усилению ЗИС.10: 1) в информационной системе должен осуществляться процесс верификации цепочки доверия между основным (корневым) и подчиненными (дочерними) доменами (например, с использованием записей ресурсов в системе доменных имен, сопоставляющих сетевое имя и сетевой адрес средств вычислительной техники и технических средств).

Содержание базовой меры ЗИС.10:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.10
Усиление ЗИС.10

ЗИС.11 ОБЕСПЕЧЕНИЕ ПОДЛИННОСТИ СЕТЕВЫХ СОЕДИНЕНИЙ (СЕАНСОВ ВЗАИМОДЕЙСТВИЯ), В ТОМ ЧИСЛЕ ДЛЯ ЗАЩИТЫ ОТ ПОДМЕНЫ СЕТЕВЫХ УСТРОЙСТВ И СЕРВИСОВ

Требования к реализации ЗИС.11: В информационной системе должно осуществляться обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов (защита от атак типа «человек посередине»). Для подтверждения подлинности сторон сетевого соединения (сеанса взаимодействия) и защиты сетевых устройств и сервисов от подмены должна осуществляться их аутентификация в соответствии с ИАФ.2 и ЗИС.10. Контроль целостности передаваемой информации должен включать проверку целостности передаваемых пакетов и осуществляться в соответствии с ЗИС.3.

Требования к усилению ЗИС.11: 1) в информационной системе должно обеспечиваться признание идентификатора сеанса связи недействительным после окончания сетевого соединения; 127

2) в информационной системе должна осуществляться регистрация установления и разрыва сетевых соединений (сеансов взаимодействия) в целях выявления возможных инцидентов (событий безопасности); 3) в информационной системе должна осуществляться генерация и присвоение уникальных идентификаторов (одноразовых) для каждого сетевого соединения (сеанса взаимодействия) и контроль их подлинности (восприниматься должны только идентификаторы, сгенерированные информационной системой); 4) в информационной системе должно обеспечиваться обнаружение попыток повторного использования идентификаторов сетевых соединений и реагирование на эти попытки; 5) в информационной системе должна осуществляться защита от подбора идентификаторов, присваиваемых будущим сетевым соединениям (сеансам взаимодействия).

Содержание базовой меры ЗИС.11:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.11			+	+
Усиление ЗИС.11				1

ЗИС.12 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ ПОЛЬЗОВАТЕЛЕМ ФАКТА ОТПРАВКИ ИНФОРМАЦИИ ДРУГОМУ ПОЛЬЗОВАТЕЛЮ

Требования к реализации ЗИС.12: Оператором должно обеспечиваться исключение возможности отрицания пользователем факта отправки информации другому пользователю. Для исключения возможности отрицания пользователем факта отправки информации другому пользователю должны осуществляться: определение объектов или типов информации, для которых требуется обеспечение неотказуемости отправки (например, сообщения электронной почты); обеспечение целостности информации при ее подготовки к передаче и непосредственной ее передачи по каналам связи в соответствии с ЗИС.3; регистрация событий, связанных с отправкой информации другому пользователю в соответствии с РСБ.2.

Требования к усилению ЗИС.12: 1) в информационной системе должна обеспечиваться генерация свидетельства отправления информации (например, электронной подписи); 128

2) в информационной системе должна обеспечиваться связь атрибутов отправителя информации в соответствии с учетом ИАФ.1 и ИАФ.6 с полями отправляемой информации (текстом сообщения); 3) в информационной системе должна быть обеспечена возможность верификации (проверки) свидетельства отправления информации; 4) в информационной системе должна быть обеспечена возможность записи и защищенного хранения в течение установленного оператором времени информации, отправленной пользователем другому пользователю.

Содержание базовой меры ЗИС.12:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.12			+	+
Усиление ЗИС.12

ЗИС.13 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ ПОЛЬЗОВАТЕЛЕМ ФАКТА ПОЛУЧЕНИЯ ИНФОРМАЦИИ ОТ ДРУГОГО ПОЛЬЗОВАТЕЛЯ

Требования к реализации ЗИС.13: Оператором должно обеспечиваться исключение возможности отрицания пользователем факта получения информации от другого пользователя. Для исключения возможности отрицания пользователем факта получения информации должны осуществляться: определение объектов или типов информации, для которых требуется обеспечение неотказуемости получения (сообщения электронной почты); обеспечение целостности полученной информации в соответствии с ЗИС.3; регистрация событий, связанных с получением информации от другого пользователя в соответствии с РСБ.2.

Требования к усилению ЗИС.13: 1) в информационной системе должна обеспечиваться генерация свидетельства получения информации (запрос подтверждения получения или электронная подпись); 2) в информационной системе должна быть обеспечена связь атрибутов получателя информации в соответствии с ИАФ.1 и ИАФ.6 с полями отправляемой информации (текстом сообщения); 3) в информационной системе должна быть обеспечена возможность верификации (проверки) свидетельства получения информации; 129

4) в информационной системе должна быть обеспечена возможность записи и защищенного хранения в течение установленного оператором времени информации, полученной пользователем от другого пользователя.

Содержание базовой меры ЗИС.13:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.13			+	+
Усиление ЗИС.13

ЗИС.14 ИСПОЛЬЗОВАНИЕ УСТРОЙСТВ ТЕРМИНАЛЬНОГО ДОСТУПА ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ

Требования к реализации ЗИС.14: Оператором для обработки информации в информационной системе должны применяться устройства терминального доступа, обладающие минимальными функциональными возможностями по обработке и хранению информации. Применение устройств терминального доступа должно быть направлено на сосредоточение основных функций по обработке и хранению информации на серверах (в центрах обработки данных), уменьшение состава мер защиты информации, реализуемых на каждой рабочей станции, и перенос их реализации на серверы. К таким устройствам относятся, в том числе, бездисковые рабочие станции, при использовании которых информация текущей сессии хранится в оперативной памяти или на защищенном съемном машинном носителей информации.

Требования к усилению ЗИС.14: Не установлены.

Содержание базовой меры ЗИС.14:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.14
Усиление ЗИС.14

ЗИС.15 ЗАЩИТА АРХИВНЫХ ФАЙЛОВ, ПАРАМЕТРОВ НАСТРОЙКИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ИНЫХ ДАННЫХ, НЕ ПОДЛЕЖАЩИХ ИЗМЕНЕНИЮ В ПРОЦЕССЕ ОБРАБОТКИ ИНФОРМАЦИИ

Требования к реализации ЗИС.15: В информационной системе должна обеспечиваться защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения, иных данных, не подлежащих изменению в процессе обработки информации. Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации, обеспечивается принятием мер защиты информации, определенных оператором в соответствии с настоящим методическим документом, направленных на обеспечение их конфиденциальности и целостности. Защита данных, не подлежащих изменению в процессе обработки информации, обеспечивается в отношении информации, хранящейся на жестких магнитных дисках, дисковых накопителях и иных накопителях в информационной системе.

Требования к усилению ЗИС.15: 1) оператором для обеспечения конфиденциальности и целостности архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации, в соответствии с законодательством Российской Федерации применяются криптографические (шифровальные) средства защиты информации (данных); 2) использование неперезаписываемых носителей или носителей с защищенной областью памяти для размещения (хранения) параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации.

Содержание базовой меры ЗИС.15:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.15			+	+
Усиление ЗИС.15

ЗИС.16 ВЫЯВЛЕНИЕ, АНАЛИЗ И БЛОКИРОВАНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ СКРЫТЫХ КАНАЛОВ ПЕРЕДАЧИ ИНФОРМАЦИИ В ОБХОД РЕАЛИЗОВАННЫХ МЕР ЗАЩИТЫ ИНФОРМАЦИИ ИЛИ ВНУТРИ РАЗРЕШЕННЫХ СЕТЕВЫХ ПРОТОКОЛОВ

Требования к реализации ЗИС.16: Оператором должны выполняться мероприятия по выявлению и анализу скрытых каналов передачи информации для определения параметров передачи информации, которые могут использоваться для скрытого хранения информации и скрытой передачи информации за пределы информационной системы. Выявление, анализ и блокирование скрытых каналов передачи информации выполняется с учетом национальных стандартов: ГОСТ Р 53113-2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения; ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Выявление и анализ скрытых каналов передачи информации осуществляется на этапах разработки и реализации системы защиты информации.

Требования к усилению ЗИС.16: Не установлены.

Содержание базовой меры ЗИС.16:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.16
Усиление ЗИС.16

ЗИС.17 РАЗБИЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА СЕГМЕНТЫ (СЕГМЕНТИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ) И ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРИМЕТРОВ СЕГМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.17: Оператором осуществляется разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечивается защита периметров сегментов информационной системы. Сегментирование информационной системы проводится с целью построения многоуровневой (эшелонированной) системы защиты информации путем построения сегментов на различных физических доменах или средах. Принципы сегментирования информационной системы определяются оператором с учетом функциональных и технологических особенностей процесса обработки информации и анализа угроз безопасности информации и должны заключаться в снижении вероятности реализации угроз и (или) их локализации в рамках одного сегмента. Сегментирование информационной системы также может проводиться с целью разделения информационной системы на сегменты, имеющие различные классы защищенности информационной системы. При сегментировании информационной системы должна быть обеспечена защита периметров сегментов информационной системы в соответствии с УПД.3 и ЗИС.23.

Требования к усилению ЗИС.17: 1) оператором осуществляется выделение сегментов информационной системы для размещения общедоступной (публичной) информации: а) путем выделения отдельных физических сетевых интерфейсов коммуникационного оборудования и (или) средств защиты периметра; б) путем физической изоляции сегментов информационной системы для размещения общедоступной (публичной) информации.

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.17			+	+
Усиление ЗИС.17

ЗИС.18 ОБЕСПЕЧЕНИЕ ЗАГРУЗКИ И ИСПОЛНЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ, ДОСТУПНЫХ ТОЛЬКО ДЛЯ ЧТЕНИЯ, И КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Требования к реализации ЗИС.18: В информационной системе обеспечиваются: выделение в составе операционной системы и прикладного обеспечения частей, немодифицируемых в процессе загрузки и выполнения, и размещение их на машинных носителях информации, доступных только для чтения; загрузка и выполнение на средствах вычислительной техники, определяемых оператором, операционной системы с машинных носителей информации, доступных только для чтения; загрузка и выполнение на средствах вычислительной техники прикладного программного обеспечения, определяемого оператором, с машинных носителей информации, доступных только для чтения. В качестве машинных носителей информации, доступных только для чтения, рассматриваются, в том числе, оптические носители CD-R/DVD-R или иные аппаратные машинные носители информации, возможность перезаписи на которые исключена технологически.

Требования к усилению ЗИС.18: 1) в сегментах (компонентах) информационной системы, определяемых оператором, применяются неперезаписываемые (защищенные от записи) машинные носители информации, устойчивые к сбоям в программном обеспечении информационной системы и отключению питания; 2) оператором должен осуществляться контроль целостности программного обеспечения, записанного на машинные носители информации, доступные только для чтения, в соответствии с ОЦЛ.1.

Содержание базовой меры ЗИС.18:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.18
Усиление ЗИС.18

ЗИС.19 ИЗОЛЯЦИЯ ПРОЦЕССОВ (ВЫПОЛНЕНИЕ ПРОГРАММ) В ВЫДЕЛЕННОЙ ОБЛАСТИ ПАМЯТИ

Требования к реализации ЗИС.19: В информационной системе должна осуществляться изоляция процессов (выполнение программ) в выделенной области памяти. Изоляция процессов (выполнение программ) в выделенной области памяти должна обеспечивать недоступность областей памяти, используемых процессами (программами) выполняемыми от имени одного пользователя (учетной записи), для процессов (программ), исполняемых от имени другого пользователя (учетной записи). Изоляция процессов (выполнение программ) в выделенной области памяти реализуется в средствах вычислительной техники, определенных оператором, и как минимум должна включать изоляцию процессов, связанных с выполнением функций безопасности средств защиты информации.

Требования к усилению ЗИС.19: Не установлены.

Содержание базовой меры ЗИС.19:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.19
Усиление ЗИС.19

ЗИС.20 ЗАЩИТА БЕСПРОВОДНЫХ СОЕДИНЕНИЙ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Требования к реализации ЗИС.20: Оператором должна быть обеспечена защита беспроводных соединений, применяемых в информационной системе. Защита беспроводных соединений включает: ограничение на использование беспроводных соединений (802.11х Wi-Fi, 802.15.1 Bluetooth и иных беспроводных соединений) в соответствии с задачами (функциями) информационной системы, для решения которых такие соединения необходимы; предоставление доступа к параметрам (изменению параметров) настройки беспроводных соединений только администраторам информационной системы; обеспечение возможности реализации беспроводных соединений только через контролируемые интерфейсы (в том числе, путем применения средств защиты информации); 135

регистрация и анализ событий, связанных с использованием беспроводных соединений, в том числе для выявления попыток несанкционированного подключения к информационной системе через беспроводные соединения. При обеспечении защиты беспроводных соединений в зависимости от их типов должны реализовываться меры по идентификации и аутентификации в соответствии с ИАФ.1, ИАФ.2 и ИАФ.6. При невозможности исключения установления беспроводных соединений из-за пределов контролируемой зоны должны приниматься меры защищенного удаленного доступа в соответствии с УПД.13 и ЗИС.3. Порядок и правила применения беспроводных соединений регламентируются в организационно-распорядительных документах по защите информации оператора.

Требования к усилению ЗИС.20: 1) оператором для защиты беспроводных соединений в соответствии с законодательством Российской Федерации должны применяться средства криптографической защиты информации; 2) в информационной системе должны применяться автоматизированные программно-технические средства обнаружения, анализа и блокирования несанкционированного использования беспроводных технологий и подключений к информационной системе; 3) в информационной системе должна быть исключена возможность установления беспроводных соединений из-за пределов контролируемой зоны.

Содержание базовой меры ЗИС.20:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.20		+	+	+
Усиление ЗИС.20

ЗИС.21 ИСКЛЮЧЕНИЕ ДОСТУПА ПОЛЬЗОВАТЕЛЯ К ИНФОРМАЦИИ, ВОЗНИКШЕЙ В РЕЗУЛЬТАТЕ ДЕЙСТВИЙ ПРЕДЫДУЩЕГО ПОЛЬЗОВАТЕЛЯ ЧЕРЕЗ РЕЕСТРЫ, ОПЕРАТИВНУЮ ПАМЯТЬ, ВНЕШНИЕ ЗАПОМИНАЮЩИЕ УСТРОЙСТВА И ИНЫЕ ОБЩИЕ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ РЕСУРСЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.21: В информационной системе должен быть исключен доступ пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, 136

внешние запоминающие устройства, ресурсы файловой системы и иные общие для пользователей ресурсы информационной системы. Исключение доступа к информации через общие для пользователей ресурсы должно обеспечивать запрет доступа текущему пользователю (учетной записи) или текущему процессу к системным ресурсам (реестрам, оперативной памяти, внешним запоминающим устройствам) при их повторном использовании, в которых хранится информация другого (предыдущего) пользователя.

Требования к усилению ЗИС.21: 1) в информационной системе должна быть исключена возможность использоваться в качестве общих для пользователей ресурсов информационной системы, которые используются как интерфейс (память, однонаправленные интерфейсы (устройства) и сетевые карты) взаимодействия (связи) с системами, имеющими другие классы защищенности.

Содержание базовой меры ЗИС.21:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.21				+
Усиление ЗИС.21

ЗИС.22 ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, НАПРАВЛЕННЫХ НА ОТКАЗ В ОБСЛУЖИВАНИИ ЭТОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.22: В информационной системе должна обеспечиваться защита от угроз безопасности информации, направленных на отказ в обслуживании этой системы. Оператором должен быть определен перечень угроз (типов угроз) безопасности информации, направленных на отказ в обслуживании, являющихся актуальными для его информационной системы. Защита от угроз безопасности информации, направленных на отказ в обслуживании, осуществляется посредством реализации в информационной системе мер защиты информационной системы в соответствии с ЗИС.23 и повышенными характеристиками производительности телекоммуникационного оборудования и каналов передачи совместно с резервированием информации и технических средств, программного обеспечения, каналов передачи информации в соответствии с ОДТ.2, ОДТ.4 и ОДТ.5.

Требования к усилению ЗИС.22: 1) в информационной системе обеспечивается ограничение возможностей пользователей по реализации угроз безопасности информации, направленных на отказ в обслуживании, в отношении отдельных сегментов информационной системы и других информационных систем; 2) в информационной системе обеспечивается управление характеристиками производительности телекоммуникационного оборудования и каналов передачи информации в зависимости от интенсивности реализации угроз безопасности информации направленных на отказ в обслуживании; 3) оператором в установленном порядке обеспечивается использование услуг сторонних организаций (провайдеров) по «очистке» входящего трафика (для сброса потока пакетов, используемых нарушителем для реализации угроз безопасности, направленных на отказ в обслуживании этой информационной системы); 4) оператором обеспечивается применение средств защиты информации, предназначенных для нейтрализации угроз безопасности, направленных на отказ в обслуживании.

Содержание базовой меры ЗИС.22:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.22			+	+
Усиление ЗИС.22

ЗИС.23 ЗАЩИТА ПЕРИМЕТРА (ФИЗИЧЕСКИХ И (ИЛИ) ЛОГИЧЕСКИХ ГРАНИЦ) ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРИ ЕЕ ВЗАИМОДЕЙСТВИИ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫМИ СЕТЯМИ

Требования к реализации ЗИС.23: В информационной системе должна осуществляться защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, предусматривающая: управление (контроль) входящими в информационную систему и исходящими из информационной системы информационными потоками на физической и (или) логической границе информационной системы (сегментах информационных систем); обеспечение взаимодействия информационной системы и (или) ее сегментов с иными информационными системами и сетями только через 138

сетевые интерфейсы, которые обеспечивают управление (контроль) информационными потоками с использованием средств защиты информации (управляемые (контролируемые) сетевые интерфейсы), установленных на физическом и (или) логическом периметре информационной системы или ее отдельных сегментов (маршрутизаторов, межсетевых экранов, коммутаторов, прокси-серверов, шлюзов безопасности, средств построения виртуальных частных сетей и иных средств защиты информации).

Требования к усилению ЗИС.23: 1) в информационной системе должна быть обеспечена возможность размещения публичных общедоступных ресурсов (например, общедоступный веб-сервер), взаимодействующих с информационной системой через отдельные физические управляемые (контролируемые) сетевые интерфейсы; 2) в информационной системе должно быть обеспечено предоставление доступа во внутренние сегменты информационной системы (демилитаризованную зону) из внешних информационных систем и сетей только через средства защиты периметра (за исключением внутренних сегментов, которые специально выделены для такого взаимодействия); 3) оператор должен ограничить количество точек доступа в информационную систему из внешних информационных систем и сетей до минимально необходимого для решения задач и обеспечивающего постоянный и всесторонний контроль входящих и исходящих информационных потоков; 4) оператором в информационной системе: а) должен применяться отдельный физический управляемый (контролируемый) сетевой интерфейс для каждого внешнего телекоммуникационного сервиса; б) должны быть установлены правила управления информационными потоками для каждого физического управляемого (контролируемого) сетевого интерфейса; в) должна обеспечиваться защита информации при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны (при необходимости), путем применения организационно-технических мер или криптографических методов в соответствии с законодательством Российской Федерации; г) должно обеспечиваться обоснование и документирование всех исключений из правил управления информационными потоками, связанных с решением определенных задач в информационной системе, и определение продолжительности потребности таких исключений; д) должно обеспечиваться удаление введенных исключений из правил управления информационными потоками после истечения установленного времени; 5) в информационной системе должен быть исключен выход (вход) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию (реализация принципа «запрещено все, что не разрешено»); 139

6) оператором обеспечивается запрет передачи информации за пределы периметра информационной системы при отказе (сбое) функционирования средств защиты периметра; 7) в информационной системе должна быть исключена возможность информационного взаимодействия мобильных и иных технических средств (устройств) с внешними информационными системами и информационно- телекоммуникационным сетям в процессе их удаленного подключения к защищаемой информационной системе с использованием средств построения виртуальных частных сетей; 8) в информационной системе обеспечивается сетевое соединение внутренних сегментов информационной системы (отдельных средств вычислительных техники), определенных оператором, с установленными им внешними информационными системами и сетями через прокси-серверы, размещенные совместно со средствами защиты периметра, обеспечивающие логирование (отслеживание) TCP-сессий, блокирование конкретных URL, доменных имен, IP-адресов и другим параметрам запросов к внешним информационным ресурсам; 9) в информационной системе исключается возможность выхода через управляемые (контролируемые) сетевые интерфейсы информационных потоков, содержащих вредоносное программное обеспечение (вирусы) или признаки компьютерных атак представляющих угрозу внешним информационным системам и сетям; 10) в информационной системе исключается возможность утечки информации через управляемые (контролируемые) сетевые интерфейсы путем точного соблюдения форматов протоколов, контроля использования стеганографии, отключения внешних сетевых интерфейсов, разборки и сборки пакетов данных, контроля отклонения типа и объема информационного потока от установленного профиля; 11) в информационной системе должна быть обеспечена проверка адреса источника информационного потока и адреса получателя информационного потока с целью подтверждения того, что информационное взаимодействие между этими адресами разрешено; 12) в информационной системе обеспечивается защита периметра с использованием шлюза безопасности на уровне узлов (хостов) для серверов, рабочих станций и мобильных технических средств; 13) в информационной системе обеспечивается сокрытие сетевых адресов используемых для управления средствами защиты периметра, информация о которых может быть получена через технологии определения устройств в сети (в частности систему доменных имен); 14) оператором обеспечивается отделение через отдельный физический управляемый (контролируемый) сетевой интерфейс функций безопасности и управления (администрирования) информационной системы, определенных оператором, от других (внутренних) компонентов информационной системы; 15) оператором обеспечивается исключение возможности несанкционированного физического сетевого подключения к управляемым 140

(контролируемым) сетевым интерфейсам (сетевым интерфейсам средств защиты периметра); 16) в информационной системе для контроля (анализа) защищенности доступ администраторов обеспечивается через выделенный отдельный физический управляемый (контролируемый) сетевой интерфейс; 17) оператором применяются автоматизированные средства, обеспечивающие строгое соблюдение формата сетевых протоколов на уровне приложений (проверка пакетов на предмет соблюдения спецификаций протокола на уровне приложений); 18) в информационной системе обеспечивается корректное завершение ее функционирования в случае нарушения функционирования (сбоя, отказов) средств защиты периметра; 19) в информационной системе при необходимости предоставлять доступ к ресурсам информационной системы должна быть организована демилитаризованная зона, содержащая доступные ресурсы. 20) в информационной системе должна быть обеспечена возможность размещения публичных общедоступных ресурсов (например, общедоступный веб-сервер), взаимодействующих с информационной системой через отдельные физические управляемые (контролируемые) сетевые интерфейсы.

Содержание базовой меры ЗИС.23:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.23			+	+
Усиление ЗИС.23			1, 2, 3, 4а, 4б, 4в, 5	1, 2, 3, 4а, 4б, 4в, 4г, 4д, 5, 6, 7

ЗИС.24 ПРЕКРАЩЕНИЕ СЕТЕВЫХ СОЕДИНЕНИЙ ПО ИХ ЗАВЕРШЕНИИ ИЛИ ПО ИСТЕЧЕНИИ ЗАДАННОГО ОПЕРАТОРОМ ВРЕМЕННОГО ИНТЕРВАЛА НЕАКТИВНОСТИ СЕТЕВОГО СОЕДИНЕНИЯ

Требования к реализации ЗИС.24: В информационной системе должно осуществляться завершение сетевых соединений (например, открепление пары порт/адрес (ТСР/IP) по их завершении и (или) по истечении заданного оператором временного интервала неактивности сетевого соединения.

Требования к усилению ЗИС.24: Не установлены.

Содержание базовой меры ЗИС.24:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.24			+	+
Усиление ЗИС.24

ЗИС.25 ИСПОЛЬЗОВАНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ИЛИ ЕЕ СЕГМЕНТАХ РАЗЛИЧНЫХ ТИПОВ ОБЩЕСИСТЕМНОГО, ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (СОЗДАНИЕ ГЕТЕРОГЕННОЙ СРЕДЫ)

Требования к реализации ЗИС.25: Проектировщиком при создании информационной должны применяться различные типы общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды). Гетерогенная среда создается путем применения различных типов информационных технологий с целью ограничения возможностей потенциальных нарушителей по реализации угроз безопасности информации (по несанкционированному доступу к информации, внедрению вредоносного программного обеспечения (компьютерных вирусов) и по организации вторжений (проведению компьютерных атак)). Создание гетерогенной среды может достигаться в частности применением на серверах информационной системы UNIX-подобных операционных систем, отличных от операционных систем, применяемых на автоматизированных рабочих местах типа Windows и (или) применением в смежных сетевых сегментах информационной системы разных типов сетевого общесистемного, прикладного и (или) специального программного обеспечения. При создании гетерогенной среды необходимо учитывать повышение сложности в управлении конфигурацией информационной системы и возможность увеличения ошибок конфигурации и возможных уязвимостей.

Требования к усилению ЗИС.25: Не установлены.

Содержание базовой меры ЗИС.25:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.25
Усиление ЗИС.25

ЗИС.26 ИСПОЛЬЗОВАНИЕ ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ИМЕЮЩЕГО ВОЗМОЖНОСТЬ ФУНКЦИОНИРОВАНИЯ НА РАЗЛИЧНЫХ ТИПАХ ОПЕРАЦИОННЫХ СИСТЕМ

Требования к реализации ЗИС.26: В информационной системе должно применяться прикладное и специальное программное обеспечение, имеющих возможность функционирования на различных типах операционных системах (независимое от вида операционной системы прикладное и специальное программное обеспечение). Целью применения независимого от платформы операционной системы прикладного и специального программного обеспечения является обеспечение бесперебойного (штатного) функционирования прикладного (специального) программного обеспечения путем перевода его под управление операционной системы другого типа в случае реализации компьютерной атаки (возникновения инцидента) на основную операционную систему до восстановления безопасного функционирования информационной системы. Применение независимого от типа (вида) операционной системы прикладного и специального программного обеспечения достигается в частности применением программного обеспечения, функционирование которого возможно как под управлением UNIX-подобных операционных систем, так и под управлением операционных систем типа Windows или иных операционных систем. Перечень прикладного и специального программного обеспечения, имеющего возможность функционирования на различных типах операционных системах, определяется оператором.

Требования к усилению ЗИС.26: Не установлены.

Содержание базовой меры ЗИС.26:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.26
Усиление ЗИС.26

ЗИС.27 СОЗДАНИЕ (ЭМУЛЯЦИЯ) ЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ ИЛИ ИХ КОМПОНЕНТОВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ОБНАРУЖЕНИЯ, РЕГИСТРАЦИИ И АНАЛИЗА ДЕЙСТВИЙ НАРУШИТЕЛЕЙ В ПРОЦЕССЕ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Требования к реализации ЗИС.27: В информационной системе применяются специально созданные (эмулированные) ложные компоненты информационной системы или создаются ложные информационные системы, предназначенные для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации. Ложные информационной системы или их компоненты должны выступать в качестве целей для нарушителя при реализации им компьютерной атаки и обеспечивать имитацию функционирования реальной информационной системы с целью обнаружения, регистрации и анализа действий этих нарушителей по реализации компьютерной атаки, а также принятия мер по предотвращению указанных угроз.

Требования к усилению ЗИС.27: 1) в информационной системе применяются ложные компоненты информационной системы, выступающие в качестве цели для вредоносного программного обеспечения (вируса) и провоцирующие преждевременное (до воздействия на объект защиты) проявление его признаков.

Содержание базовой меры ЗИС.27:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.27
Усиление ЗИС.27

ЗИС.28 ВОСПРОИЗВЕДЕНИЕ ЛОЖНЫХ И (ИЛИ) СКРЫТИЕ ИСТИННЫХ ОТДЕЛЬНЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ СЕГМЕНТОВ, ОБЕСПЕЧИВАЮЩЕЕ НАВЯЗЫВАНИЕ У НАРУШИТЕЛЯ ЛОЖНОГО ПРЕДСТАВЛЕНИЯ ОБ ИСТИННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИКАХ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.28: Оператором обеспечивается воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание у нарушителя ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы. Воспроизведение (визуализация) ложных и (или) скрытие (маскирование) истинных отдельных информационных технологий и (или) структурно- функциональных характеристик информационной системы или ее сегментов должны быть направлены на снижение возможности успешной реализации нарушителем угрозы безопасности информации (компьютерной атаки) путем введение в заблуждение нарушителя относительно возможных способов и средств компьютерных атак на информационную систему. При этом визуализация ложных и (или) маскирование истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы позволяют снизить или исключить затраты на внедрение сложных средств защиты информации.

Требования к усилению ЗИС.28: 1) оператором визуализация ложных информационных технологий и (или) структурно-функциональных характеристик осуществляется в произвольном порядке с периодичностью, определяемой оператором.

Содержание базовой меры ЗИС.28:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.28
Усиление ЗИС.28

ЗИС.29 ПЕРЕВОД ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ УСТРОЙСТВ (КОМПОНЕНТОВ) В ЗАРАНЕЕ ОПРЕДЕЛЕННУЮ КОНФИГУРАЦИЮ, ОБЕСПЕЧИВАЮЩУЮ ЗАЩИТУ ИНФОРМАЦИИ, В СЛУЧАЕ ВОЗНИКНОВЕНИЯ ОТКАЗОВ (СБОЕВ) В СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.29: В информационной системе должен осуществляться перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы. Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию должен обеспечивать защиту информации при наступлении (возникновении) отказов (сбоев) в функционировании информационной системы или ее сегментов, которые могут привести к нарушению конфиденциальности, целостности и (или) доступности этой информации. Оператором должны быть определены типы отказов (сбоев) в системе защиты информации информационной системы, которые могут привести к нарушению конфиденциальности, целостности и (или) доступности этой информации, и при наступлении (возникновении) которых должен обеспечиваться перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию. Заранее определенная конфигурация информационной системы должна содержать информацию о состоянии информационной системы и ее системе защиты информации (системная информация, параметры настроек программного обеспечения, включая средств защиты информации), достаточной для перезапуска информационной системы и обеспечения ее функционирования в штатном режиме, при котором также обеспечивается защита информации. Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы осуществляется в соответствии с ОДТ.2, резервное копирование информации – в соответствии с ОДТ.4. Контроль безотказного функционирования технических средств информационной системы осуществляется в соответствии с ОДТ.3. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала осуществляется в соответствии с ОДТ.5.

Требования к усилению ЗИС.29: Не установлены.

Содержание базовой меры ЗИС.29:

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.29
Усиление ЗИС.29

ЗИС.30 ЗАЩИТА МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Требования к реализации ЗИС.30: Оператором должна осуществляться защита применяемых в информационной системе мобильных технических средств. Защита мобильных технических средств включает: реализация в зависимости от мобильного технического средства (типа мобильного технического средства) мер по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, антивирусной защитой в соответствии с АВЗ.1 и АВЗ.2, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1. очистка (удаление) информации в мобильном техническом средстве после завершения сеанса удаленного доступа к защищаемой информации или принятие иных мер, исключающих несанкционированный доступ к хранимой защищаемой информации; уничтожение съемных носителей информации, которые не подлежат очистке; выборочные проверки мобильных технических средств (на предмет их наличия) и хранящейся на них информации (например, на предмет отсутствия информации, не соответствующей маркировке носителя информации). К мобильным техническим средствам относятся съемные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные носители), а также портативные вычислительные устройства и устройства связи с возможностью обработки информации (например, ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства). запрет возможности автоматического запуска (без команды пользователя) в информационной системе программного обеспечения на мобильных технических средствах.

Требования к усилению ЗИС.30: 1) оператором должны применяться средства ограничения доступа к информации на съемных машинных носителях информации с использованием специализированных съемных носителей информации и средств контроля съемных носителей информации в соответствии с учетом ЗНИ.4; 2) оператором должна обеспечиваться очистка (удаление) информации в мобильном техническом средстве: а) при превышении допустимого числа неуспешных попыток входа в информационную систему под конкретной учетной записью (доступа к информационной системе), осуществляемых с мобильного устройства; б) при превышении допустимого интервала времени с начала осуществления попыток входа в информационную систему под конкретной учетной записью, осуществляемых с мобильного устройства; 3) оператором должно обеспечиваться применение технических средств защиты периметра уровня узла, устанавливаемых на портативные вычислительные устройства; 4) оператором должно обеспечиваться использование радиометок (RFID- меток) для контроля вноса или выноса мобильных технических устройств из помещения и (или) контролируемой зоны в целом; 5) оператором обеспечивается шифрование хранимой на носителе мобильного технического средства информации с применением криптографических методов защиты информации в соответствии с законодательством Российской Федерации.

Мера защиты информации	Класс защищенности информационной системы
Мера защиты информации	4	3	2	1
ЗИС.30		+	+	+
Усиление ЗИС.30

Приложение № 1 к Мерам защиты информации в государственных информационных системах

Содержание базовых мер защиты информации для соответствующего класса защищенности информационной системы

Условное обозначе- ние и номер меры Меры защиты информации в информационных системах Классы защищенности информационной системы 4 3 2 1 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора + 1а + 1б + 1в, 2, 3, 4 + 1г, 2, 3, 4, 5 ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

+

ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов +

+ 1а, 2а + 1а, 2а + 1б, 2б ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации + 1а, 1в + 1а, 1в + 1а, 1в, 1д + 1а, 1в, 1д ИАФ.5 Защита обратной связи при вводе аутентификационной информации +

+

ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками +

+

оператора (внешних пользователей) ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа

II. Управление доступом субъектов доступа к объектам доступа (УПД) УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей +

+ 1, 2 + 1, 2, 3а + 1, 2, 3б УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа +

+ 1, 2, 3 + 1, 2, 3 + 1, 2, 3, 4 УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

+

УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы

+ + +

1 150

УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+ +

+ 1 УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) + + + + 1 УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации

УПД.8 Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

1а, 3 УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

+ 1а, 2 + 1б, 2 УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

+

УПД.12 Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно- телекоммуникационные сети

2, 3 + 2, 3, 5 + 1, 2, 3, 5 УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа +

+ 1 + 1, 3 + 1, 3, 4, 5 УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств + + + 1, 2 + 1, 2, 3 УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) + 1а + 1а + 1а, 1б + 1а, 1б УПД.17 Обеспечение доверенной загрузки средств вычислительной техники

1 + 2 III. Ограничение программной среды (ОПС) ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения

1, 2, 3 ОПС.2 Управление установкой (инсталляцией) компонентов

+ 1 152

программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов +

+

ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов

IV. Защита машинных носителей информации (ЗНИ) ЗНИ.1 Учет машинных носителей информации +

+

+ 1а + 1а, 1б ЗНИ.2 Управление доступом к машинным носителям информации +

+

ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны

+ 1 ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах

1 + 1 ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации

+ 1 ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации

ЗНИ.7 Контроль подключения 153

машинных носителей информации ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) + 5а + 1,5б + 1, 5в + 1, 2, 3, 5г V. Регистрация событий безопасности (РСБ) РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения +

+

+ 1, 3а + 1, 2, 3б РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации +

+

+ 1 + 1 РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения +

+

+ 1 + 1 РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти +

+

+ 1, 2, 4 РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них +

+

+ 1а + 1б, 2 РСБ.6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе +

+

+ 1, 2 + 1, 2 РСБ.7 Защита информации о событиях безопасности +

+

+ 1 + 1 154

РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

VI. Антивирусная защита (АВЗ) АВЗ.1 Реализация антивирусной защиты +

+ 1 + 1, 2 + 1, 2 АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) +

+

+ 1 + 1 VII. Обнаружение вторжений (СОВ) СОВ.1 Обнаружение вторжений + 2 + 2 СОВ.2 Обновление базы решающих правил

+ 1, 2, 3 VIII. Контроль (анализ) защищенности информации (АНЗ) АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

1, 4 + 1, 2, 4 + 1, 2, 4, 7 АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации +

+

АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

+ 1 + 1, 2 АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации

+ 1 + 1, 2 АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и

+ 1 + 1 155

удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе IX. Обеспечение целостности информационной системы и информации (ОЦЛ) ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

1, 3, 5 + 1, 3, 5, 6 ОЦЛ.2 Контроль целостности информации, содержащейся в базах данных информационной системы

ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций +

+

+ 1 ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

+

ОЦЛ.5 Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с

использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему

ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему

ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

X. Обеспечение доступности информации (ОДТ) ОДТ.1 Использование отказоустойчивых технических средств

ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы

ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

+ 1 ОДТ.4 Периодическое резервное копирование информации на резервные машинные носители информации

1, 2 + 1, 3 157

ОДТ.5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала

+ 1 ОДТ.6 Кластеризация информационной системы и (или) ее сегментов

ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации

+

XI. Защита среды виртуализации (ЗСВ) ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации +

+

+ 1 + 1 ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин +

+ 1, 2 + 1, 2 + 1, 2 ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре

+ +

+

ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры

+ 1, 2 ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины

(контейнера), серверов управления виртуализацией ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

1 + 1, 2 ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций

3 + 1, 3 ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

+ 1, 2, 3 ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре

+ 1 + 1 ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей

+ 2 XII. Защита технических средств (ЗТС) ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам

ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения +

+

функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены +

+

ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр +

+

ЗТС.5 Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по

3 + 3 160

обработке информации и иных функций информационной системы ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом

ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи +

+

ЗИС.4 Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

ЗИС.5 Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств +

+

+ 1 + 1, 2 ЗИС.6 Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами

ЗИС.7 Контроль + + 161

санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода 1 1, 2 ЗИС.8 Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи

+

ЗИС.9 Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видео информации

+

ЗИС.10 Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам

ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

+ 1 ЗИС.12 Исключение возможности отрицания пользователем факта отправки информации другому пользователю

+

ЗИС.13 Исключение возможности отрицания пользователем факта получения информации от другого пользователя

+

ЗИС.14 Использование устройств терминального доступа для обработки информации

ЗИС.15 Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации

+

ЗИС.16 Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов

ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы

+

ЗИС.18 Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации,

доступных только для чтения, и контроль целостности данного программного обеспечения ЗИС.19 Изоляция процессов (выполнение программ) в выделенной области памяти

ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе

+

ЗИС.21 Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы

ЗИС.22 Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы

+

ЗИС.23 Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно- телекоммуникационными сетями

1, 2, 3, 4а, 4б, 4в, 5 + 1, 2, 3, 4а, 4б, 4в, 4г, 4д, 5, 6, 7 ЗИС.24 Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения

+

ЗИС.25 Использование в информационной системе

или ее сегментах различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) ЗИС.26 Использование прикладного и специального программного обеспечения, имеющих возможность функционирования в средах различных операционных систем

ЗИС.27 Создание (эмуляция) ложных информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации

ЗИС.28 Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы

ЗИС.29 Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту

информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы ЗИС.30 Защита мобильных технических средств, применяемых в информационной системе

+

«+» - мера защиты информации включена в базовый набор мер для соответствующего класса защищенности информационной системы и должны выполняться требования к реализации данной мере защиты информации, указанные в разделе 3 настоящего документа под рубрикой «требования к реализации». «цифра» или «цифра»«буква» - должны выполняться требования к усилению данной меры защиты информации, указанные в разделе 3 настоящего документа под рубрикой «усиление мер защиты информации». Цифры, не включенные в таблицу и указанные в подразделах «требования к усилению» применяются при адаптации базового набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в информационной системе соответствующего класса защищенности. Меры защиты информации, не обозначенные знаком «+», применяются при адаптации базового набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в информационной системе соответствующего класса защищенности.

@@ Строка 21: / Строка 21: @@
 =1. ОБЩИЕ ПОЛОЖЕНИЯ =
-Настоящий методический документ ФСТЭК России «Меры защиты
+Настоящий методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» (далее – методический документ) разработан и утвержден в соответствии с подпунктом
-информации в государственных информационных системах» (далее –
+пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
-методический документ) разработан и утвержден в соответствии с подпунктом
-пункта 8 Положения о Федеральной службе по техническому и экспортному
+Методический документ содержит состав, содержание, правила выбора и реализации организационных и технических мер защиты информации (далее – меры защиты информации), принимаемых в государственных информационных
-контролю, утвержденного Указом Президента Российской Федерации от
+системах (далее – информационные системы) в соответствии с [[Требования по защите ГИС|Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах]], утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17.
-августа 2004 г. № 1085.
-Методический документ содержит состав, содержание, правила выбора и
+В методическом документе не рассматриваются содержание, правила выбора и реализации мер защиты информации, связанных с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Принятие таких мер защиты информации обеспечивается в соответствии с законодательством Российской Федерации.
-реализации организационных и технических мер защиты информации (далее –
-меры защиты информации), принимаемых в государственных информационных
+Методический документ предназначен для обладателей информации, заказчиков, заключивших государственный контракт на создание информационной системы (далее – заказчики), операторов информационных систем (далее – операторы), лиц, обрабатывающих информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее – уполномоченные лица), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации для проведения работ по созданию (проектированию) информационных систем в защищенном исполнении и (или) их систем защиты информации (далее – проектировщики).
-системах (далее – информационные системы) в соответствии с Требованиями о
-защите информации, не составляющей государственную тайну, содержащейся в
+Методический документ применяется для выбора и реализации в соответствии с [[Требования по защите ГИС#пункт 21|пунктом 21 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах]], утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, организационных и (или) технических мер защиты информации в информационных системах, направленных на исключение:
-государственных информационных системах, утвержденными приказом
+* неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
-ФСТЭК России от 11 февраля 2013 г. № 17.
+* неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
-В методическом документе не рассматриваются содержание, правила
+* неправомерного блокирования информации (обеспечение доступности информации).
-выбора и реализации мер защиты информации, связанных с применением
-криптографических методов защиты информации и шифровальных
+Настоящий методический документ может применяться для защиты общедоступной информации, содержащейся в государственных информационных системах, для достижения целей, указанных в пунктах 1 и 3
-(криптографических) средств защиты информации. Принятие таких мер защиты
+части 1 [[Об информации, информационных технологиях и о защите информации#Статья 16. Защита информации|статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»]], а также для защиты информации, содержащейся в негосударственных информационных системах.
-информации обеспечивается в соответствии с законодательством Российской
-Федерации.
+По решению оператора персональных данных настоящий методический документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита
-Методический документ предназначен для обладателей информации,
+которых обеспечивается в соответствии с [[Требования по защите ПДн|Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных]], утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21.
-заказчиков, заключивших государственный контракт на создание
-информационной системы (далее – заказчики), операторов информационных
-систем (далее – операторы), лиц, обрабатывающих информацию, являющуюся
-государственным информационным ресурсом, по поручению обладателя
-информации (заказчика) или оператора и (или) предоставляющее им
-вычислительные ресурсы (мощности) для обработки информации на основании
-заключенного договора (далее – уполномоченные лица), а также лиц,
-привлекаемых в соответствии с законодательством Российской Федерации для
-проведения работ по созданию (проектированию) информационных систем в
-защищенном исполнении и (или) их систем защиты информации (далее –
-проектировщики).
-Методический документ применяется для выбора и реализации в
-соответствии с пунктом 21 Требований о защите информации, не составляющей
-государственную тайну, содержащейся в государственных информационных
-системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17,
-организационных и (или) технических мер защиты информации в
-информационных системах, направленных на исключение:
-неправомерных доступа, копирования, предоставления или
-распространения информации (обеспечение конфиденциальности
-информации);
-неправомерных уничтожения или модифицирования информации
-(обеспечение целостности информации); 4
-неправомерного блокирования информации (обеспечение доступности
-информации).
-Настоящий методический документ может применяться для защиты
-общедоступной информации, содержащейся в государственных
-информационных системах, для достижения целей, указанных в пунктах 1 и 3
-части 1 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ
-«Об информации, информационных технологиях и о защите информации», а
-также для защиты информации, содержащейся в негосударственных
-информационных системах.
-По решению оператора персональных данных настоящий методический
-документ применяется для обеспечения безопасности персональных данных
-при их обработке в информационных системах персональных данных, защита
-которых обеспечивается в соответствии с Составом и содержанием
-организационных и технических мер по обеспечению безопасности
-персональных данных при их обработке в информационных системах
-персональных данных, утвержденных приказом ФСТЭК России от 18 февраля
-г. № 21.
 =2. ВЫБОР МЕР ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ РЕАЛИЗАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ В РАМКАХ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ =
-Выбор мер защиты информации для их реализации в информационной
+Выбор мер защиты информации для их реализации в информационной системе осуществляется в ходе проектирования системы защиты информации информационной системы в соответствии с техническим заданием на создание
-системе осуществляется в ходе проектирования системы защиты информации
+информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.
-информационной системы в соответствии с техническим заданием на создание
-информационной системы и (или) техническим заданием (частным
+Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями (далее – сети), режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
-техническим заданием) на создание системы защиты информации
-информационной системы.
-Выбор мер защиты информации осуществляется исходя из класса
-защищенности информационной системы, определяющего требуемый уровень
-защищенности содержащейся в ней информации, и угроз безопасности
-информации, включенных в модель угроз безопасности информационной
-системы, а также с учетом структурно-функциональных характеристик
-информационной системы, к которым относятся структура и состав
-информационной системы, физические, логические, функциональные и
-технологические взаимосвязи между сегментами информационной системы, с
-иными информационными системами и информационно-
-телекоммуникационными сетями (далее – сети), режимы обработки
-информации в информационной системе и в ее отдельных сегментах, а также
-иные характеристики информационной системы, применяемые
-информационные технологии и особенности ее функционирования.
 ==2.1. Классификация информационной системы по требованиям защиты информации ==
-Определение класса защищенности информационной системы
+Определение класса защищенности информационной системы проводится в соответствии с пунктом 14.2 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных
-проводится в соответствии с пунктом 14.2 Требований о защите информации,
+информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.
-не составляющей государственную тайну, содержащейся в государственных
-информационных системах, утвержденных приказом ФСТЭК России от
+Устанавливаются четыре класса защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)), определяющие уровни защищенности содержащейся в ней
-февраля 2013 г. № 17.
+информации. Самый низкий класс – четвертый, самый высокий – первый. Класс защищенности информационной системы определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой
-Устанавливаются четыре класса защищенности информационной
+информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).
-системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый
-класс (К4)), определяющие уровни защищенности содержащейся в ней
-информации. Самый низкий класс – четвертый, самый высокий – первый.
-Класс защищенности информационной системы определяется в
-зависимости от уровня значимости информации (УЗ), обрабатываемой в этой
-информационной системе, и масштаба информационной системы
-(федеральный, региональный, объектовый).
-Класс защищенности (К) = [уровень значимости информации; масштаб
+'''Класс защищенности (К) = [уровень значимости информации; масштаб системы]'''.
-системы].
-Уровень значимости информации определяется степенью возможного
+Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации:
-ущерба для обладателя информации (заказчика) и (или) оператора от
-нарушения конфиденциальности (неправомерные доступ, копирование,
-предоставление или распространение), целостности (неправомерные
-уничтожение или модифицирование) или доступности (неправомерное
-блокирование) информации:
-УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба)
+'''УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)]''',
-(доступность, степень ущерба)],
-где степень возможного ущерба определяется обладателем информации
-(заказчиком) и (или) оператором самостоятельно экспертным или иными
-методами и может быть:
-высокой, если в результате нарушения одного из свойств безопасности
-информации (конфиденциальности, целостности, доступности) возможны
-существенные негативные последствия в социальной, политической,
-международной, экономической, финансовой или иных областях деятельности
-и (или) информационная система и (или) оператор (обладатель информации) не
-могут выполнять возложенные на них функции;
-средней, если в результате нарушения одного из свойств безопасности
-информации (конфиденциальности, целостности, доступности) возможны
-умеренные негативные последствия в социальной, политической,
-международной, экономической, финансовой или иных областях деятельности
-и (или) информационная система и (или) оператор (обладатель информации) не
-могут выполнять хотя бы одну из возложенных на них функций; 6
-низкой, если в результате нарушения одного из свойств безопасности
-информации (конфиденциальности, целостности, доступности) возможны
-незначительные негативные последствия в социальной, политической,
-международной, экономической, финансовой или иных областях деятельности
-и (или) информационная система и (или) оператор (обладатель информации)
-могут выполнять возложенные на них функции с недостаточной
-эффективностью или выполнение функций возможно только с привлечением
-дополнительных сил и средств.
-Для определения степени возможного ущерба от нарушения
-конфиденциальности, целостности или доступности могут применяться
-методические документы, разработанные и утвержденные ФСТЭК России в
-соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по
-техническому и экспортному контролю, утвержденного Указом Президента
-Российской Федерации от 16 августа 2004 г. № 1085.
-Масштаб информационной системы определяется назначением и
-распределенностью сегментов информационной системы.
-Информационная система имеет федеральный масштаб, если она
-функционирует на территории Российской Федерации (в пределах
-федерального округа) и имеет сегменты в субъектах Российской Федерации,
-муниципальных образованиях и (или) организациях.
-Информационная система имеет региональный масштаб, если она
-функционирует на территории субъекта Российской Федерации и имеет
-сегменты в одном или нескольких муниципальных образованиях и (или)
-подведомственных и иных организациях.
-Информационная система имеет объектовый масштаб, если она
-функционирует на объектах одного федерального органа государственной
-власти, органа государственной власти субъекта Российской Федерации,
-муниципального образования и (или) организации и не имеет сегментов в
-территориальных органах, представительствах, филиалах, подведомственных и
-иных организациях.
-При обработке персональных данных в информационной системе
-определение уровня значимости информации осуществляется с учетом
-требуемого уровня защищенности персональных данных, установленного в
-соответствии с Требованиями к защите персональных данных при их обработке
-в информационных системах персональных данных, утвержденными
-постановлением Правительства Российской Федерации от 1 ноября 2012 г.
-№ 1119. При этом в соответствии с пунктом 27 Требований, утвержденных
-приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено
-соответствующее соотношение класса защищенности государственной
-информационной системы с уровнем защищенности персональных данных. В
-случае, если определенный в установленном порядке уровень защищенности
-персональных данных выше чем установленный класс защищенности
-государственной информационной системы, то осуществляется повышение
-класса защищенности до значения, обеспечивающего выполнение пункта 27 7
-Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г.
-№ 17.
+где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:
+* высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
+* средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
+* низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
+Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности могут применяться методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
+Масштаб информационной системы определяется назначением и распределенностью сегментов информационной системы.
+Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
+Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
+Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
+При обработке персональных данных в информационной системе определение уровня значимости информации осуществляется с учетом требуемого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.
 ==2.2 Определение угроз безопасности информации в информационной системе ==
-Угрозы безопасности информации (УБИ) определяются по результатам
+Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной
-оценки возможностей (потенциала, оснащенности и мотивации) внешних и
+системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности)
-внутренних нарушителей, анализа возможных уязвимостей информационной
-системы, возможных способов реализации угроз безопасности информации и
-последствий от нарушения свойств безопасности информации
-(конфиденциальности, целостности, доступности)
-УБИ = [возможности нарушителя; уязвимости информационной системы;
+'''УБИ = [возможности нарушителя; уязвимости информационной системы; способ реализации угрозы; последствия от реализации угрозы].'''
-способ реализации угрозы; последствия от реализации угрозы].
-При определении угроз безопасности информации учитываются
+При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, применяемые информационные технологии и особенности (условия) функционирования информационной системы.
-структурно-функциональные характеристики информационной системы,
-применяемые информационные технологии и особенности (условия)
+Эффективность принимаемых мер защиты информации в информационной системе зависит от качества определения актуальных угроз безопасности информации для конкретной информационной системы в конкретных условиях ее функционирования.
-функционирования информационной системы.
-Эффективность принимаемых мер защиты информации в
+Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации, актуальных для конкретной информационной системы или группы информационных систем в определенных условиях их функционирования. Модель угроз безопасности информации разрабатывается обладателем информации (оператором, проектировщиком) и должна соответствовать Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17.
-информационной системе зависит от качества определения актуальных угроз
-безопасности информации для конкретной информационной системы в
+Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разрабатываемые и утверждаемые ФСТЭК России в соответствии с подпунктом
-конкретных условиях ее функционирования.
+пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
-Модель угроз безопасности информации представляет собой
-формализованное описание угроз безопасности информации, актуальных для
-конкретной информационной системы или группы информационных систем в
-определенных условиях их функционирования. Модель угроз безопасности
-информации разрабатывается обладателем информации (оператором,
-проектировщиком) и должна соответствовать Требованиям о защите
-информации, не составляющей государственную тайну, содержащейся в
-государственных информационных системах, утвержденным приказом ФСТЭК
-России от 11 февраля 2013 г. № 17.
-Для определения угроз безопасности информации и разработки модели
-угроз безопасности информации применяются методические документы,
-разрабатываемые и утверждаемые ФСТЭК России в соответствии с подпунктом
-пункта 8 Положения о Федеральной службе по техническому и экспортному
-контролю, утвержденного Указом Президента Российской Федерации от
-августа 2004 г. № 1085.
 ==2.3 Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации ==
-Меры защиты информации реализуются в информационной системе в
+Меры защиты информации реализуются в информационной системе в рамках ее системы защиты информации в зависимости от класса защищенности информационной системы, актуальных угроз безопасности информации,
-рамках ее системы защиты информации в зависимости от класса защищенности 8
+структурно-функциональных характеристик информационной системы, применяемых информационных технологий и особенностей функционирования информационной системы.
-информационной системы, актуальных угроз безопасности информации,
+В информационной системе применяются следующие меры защиты информации:
-структурно-функциональных характеристик информационной системы,
-применяемых информационных технологий и особенностей
+*идентификация и аутентификация субъектов доступа и объектов доступа;
-функционирования информационной системы.
+*управление доступом субъектов доступа к объектам доступа;
-В информационной системе применяются следующие меры защиты
+*ограничение программной среды;
-информации:
+*защита машинных носителей информации;
-идентификация и аутентификация субъектов доступа и объектов доступа;
+*регистрация событий безопасности;
-управление доступом субъектов доступа к объектам доступа;
+*антивирусная защита;
-ограничение программной среды;
+*обнаружение (предотвращение) вторжений;
-защита машинных носителей информации;
+*контроль (анализ) защищенности информации;
-регистрация событий безопасности;
+*целостность информационной системы и информации;
-антивирусная защита;
+*доступность информации;
-обнаружение (предотвращение) вторжений;
+*защита среды виртуализации;
-контроль (анализ) защищенности информации;
+*защита технических средств;
-целостность информационной системы и информации;
+*защита информационной системы, ее средств и систем связи и передачи данных.
-доступность информации;
-защита среды виртуализации;
+Меры защиты информации, выбираемые для реализации в информационной системе, должны обеспечивать блокирование одной или совокупности нескольких актуальных угроз безопасности информации, включенных в модель угроз безопасности информации.
-защита технических средств;
-защита информационной системы, ее средств и систем связи и передачи
+Содержание мер защиты информации для их реализации в информационных системах приведено в приложении №1 к настоящему методическому документу. Описание представленных в приложении №1 мер защиты информации приведено в разделе 3 настоящего методического документа.
-данных.
-Меры защиты информации, выбираемые для реализации в
+Выбор мер защиты информации для их реализации в информационной системе включает:
-информационной системе, должны обеспечивать блокирование одной или
+* определение базового набора мер защиты информации для установленного класса защищенности информационной системы;
-совокупности нескольких актуальных угроз безопасности информации,
+* адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы;
-включенных в модель угроз безопасности информации.
+* уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в модель
-Содержание мер защиты информации для их реализации в
-информационных системах приведено в приложении №1 к настоящему
-методическому документу. Описание представленных в приложении №1 мер
-защиты информации приведено в разделе 3 настоящего методического
-документа.
-Выбор мер защиты информации для их реализации в информационной
-системе включает:
-определение базового набора мер защиты информации для
-установленного класса защищенности информационной системы;
-адаптацию базового набора мер защиты информации применительно к
-структурно-функциональным характеристикам информационной системы,
-информационным технологиям, особенностям функционирования
-информационной системы;
-уточнение адаптированного базового набора мер защиты информации с
-учетом не выбранных ранее мер защиты информации для блокирования
-(нейтрализации) всех угроз безопасности информации, включенных в модель
 угроз безопасности информации;
-дополнение уточненного адаптированного базового набора мер защиты
+* дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.
-информации мерами, обеспечивающими выполнение требований о защите
-информации, установленными иными нормативными правовыми актами в 9
-области защиты информации, в том числе в области защиты персональных
+''Рисунок 1 – Общий порядок действий по выбору мер защиты информации для их реализации в информационной системе''
-данных.
+При невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения
+адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.
-Класс защищенности информационной системы Структурно-функциональные характеристики информационной системы, информационные технологии, особенности функционирования Угрозы безопасности информации, включенные в модель угроз безопасности информации Требования нормативных правовых актов (иных)
+'''а) определение базового набора мер защиты информации'''
-Базовый набор мер защиты информации
-Адаптированный базовый набор мер защиты информации Уточненный адаптированный базовый набор мер защиты информации Дополненный уточненный адаптированный базовый набор мер защиты информации
-а
-б
-в
-г
-Рисунок 1 – Общий порядок действий по выбору мер защиты информации для
-их реализации в информационной системе
-При невозможности реализации в информационной системе в рамках ее
+Определение базового набора мер защиты информации для установленного класса защищенности информационной системы является первым шагом в выборе мер защиты информации, подлежащих реализации в информационной системе. Определение базового набора мер защиты информации основывается на классе защищенности информационной системы, установленном в соответствии с пунктом 2.1 настоящего методического
-системы защиты информации отдельных выбранных мер защиты информации
+документа. В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, и приложением № 1 к настоящими методическому документу в качестве начального выбирается один из четырех базовых наборов мер защиты информации, соответствующий установленному классу защищенности информационной системы. Меры защиты информации, обозначенные знаком «+» в приложении № 1 включены в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы. Меры защиты информации, не обозначенные знаком «+», к базовому набору мер не относятся, и применяются при последующих действиях по адаптации, уточнению, дополнению мер защиты информации, а также разработке компенсирующих мер защиты информации.
-на этапах адаптации базового набора мер защиты информации или уточнения
-адаптированного базового набора мер защиты информации могут
+Базовый набор мер защиты информации, выбранный в соответствии с классом защищенности информационной системы, подлежит реализации в соответствии с разделом 3 настоящего методического документа. Требования к
-разрабатываться иные (компенсирующие) меры защиты информации,
+реализации каждой меры защиты информации приведены в подразделах '''«требования к реализации мер защиты информации»'''. Требования к реализации мер защиты информации, приведенные в разделе 3 настоящего
-обеспечивающие адекватное блокирование (нейтрализацию) угроз
+методического документа, являются минимальными требованиями, выполнение которых должно быть обеспечено в информационной системе соответствующего класса защищенности, в случае если эта мера определена в
-безопасности информации.
+качестве базовой (обозначена знаком «+») и не исключена на этапе адаптации базового набора мер защиты информации.
+В зависимости от класса защищенности информационной системы минимальные требования к реализации базовых мер защиты информации могут быть усилены в соответствии с подразделами '''«требования к усилению меры защиты информации»''', приведенными в разделе 3 настоящего методического документа для каждой меры защиты информации. Усиления мер защиты информации, приведенные в подразделах '''«требования к усилению меры защиты информации»''' применяются дополнительно к требованиям по реализации мер защиты информации, приведенным в подразделах '''«требования к реализации мер защиты информации»'''.
+Содержание каждой базовой меры защиты информации, которое должно быть реализовано в информационной системе, приведено в таблице подраздела '''«содержание базовой меры защиты информации»'''.
+Усиления мер защиты информации, приведенные в подразделе '''«требования к усилению меры защиты информации»''', не включенные в таблицу с содержанием базовой меры защиты информации в подразделе '''«содержание базовой меры защиты информации»''', применяется по решению обладателя информации, заказчика и (или) оператора для повышения уровня защищенности информации, содержащейся в информационной системе, или при адаптации, уточнении, дополнении мер защиты информации, а также при разработке компенсирующих мер защиты информации.
-а) определение базового набора мер защиты информации
+'''б) адаптация базового набора мер защиты информации'''
-Определение базового набора мер защиты информации для
+Вторым шагом после определения базового состава мер защиты информации является изменение начально выбранного базового набора мер защиты информации в части его максимальной адаптации применительно к
-установленного класса защищенности информационной системы является
+структуре, реализации и особенностям эксплуатации информационной системы.
-первым шагом в выборе мер защиты информации, подлежащих реализации в
-информационной системе. Определение базового набора мер защиты
+При адаптации базового набора мер защиты информации учитываются:
-информации основывается на классе защищенности информационной системы,
+* цели и задачи защиты информации в информационной системе;
-установленном в соответствии с пунктом 2.1 настоящего методического
+* перечень мероприятий проводимых оператором по обеспечению безопасности в рамках организации в целом;
-документа. В соответствии с Требованиями о защите информации, не
+* применяемые информационные технологии и структурно-функциональные характеристики информационной системы.
-составляющей государственную тайну, содержащейся в государственных
-информационных системах, утвержденными приказом ФСТЭК России от 10
+Адаптация базового набора мер защиты информации предусматривает исключение мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-
+функциональными характеристиками, не свойственными информационной системе.
-февраля 2013 г. № 17, и приложением № 1 к настоящими методическому
+'''в) уточнение адаптированного базового набора мер защиты информации'''
-документу в качестве начального выбирается один из четырех базовых наборов
-мер защиты информации, соответствующий установленному классу
-защищенности информационной системы. Меры защиты информации,
-обозначенные знаком «+» в приложении № 1 включены в базовый набор мер
-защиты информации для соответствующего класса защищенности
-информационной системы. Меры защиты информации, не обозначенные
-знаком «+», к базовому набору мер не относятся, и применяются при
-последующих действиях по адаптации, уточнению, дополнению мер защиты
-информации, а также разработке компенсирующих мер защиты информации.
-Базовый набор мер защиты информации, выбранный в соответствии с
-классом защищенности информационной системы, подлежит реализации в
-соответствии с разделом 3 настоящего методического документа. Требования к
-реализации каждой меры защиты информации приведены в подразделах
-«требования к реализации мер защиты информации». Требования к
-реализации мер защиты информации, приведенные в разделе 3 настоящего
-методического документа, являются минимальными требованиями, выполнение
-которых должно быть обеспечено в информационной системе
-соответствующего класса защищенности, в случае если эта мера определена в
-качестве базовой (обозначена знаком «+») и не исключена на этапе адаптации
-базового набора мер защиты информации.
-В зависимости от класса защищенности информационной системы
-минимальные требования к реализации базовых мер защиты информации могут
-быть усилены в соответствии с подразделами «требования к усилению меры
-защиты информации», приведенными в разделе 3 настоящего методического
-документа для каждой меры защиты информации. Усиления мер защиты
-информации, приведенные в подразделах «требования к усилению меры
-защиты информации» применяются дополнительно к требованиям по
-реализации мер защиты информации, приведенным в подразделах «требования
-к реализации мер защиты информации».
-Содержание каждой базовой меры защиты информации, которое должно
-быть реализовано в информационной системе, приведено в таблице подраздела
-«содержание базовой меры защиты информации».
-Усиления мер защиты информации, приведенные в подразделе
-«требования к усилению меры защиты информации», не включенные в
-таблицу с содержанием базовой меры защиты информации в подразделе
-«содержание базовой меры защиты информации», применяется по решению
-обладателя информации, заказчика и (или) оператора для повышения уровня
-защищенности информации, содержащейся в информационной системе, или
-при адаптации, уточнении, дополнении мер защиты информации, а также при
-разработке компенсирующих мер защиты информации.
+Уточнение адаптированного базового набора мер защиты информации проводится с целью оценки возможности адаптированного базового набора мер защиты информации адекватно блокировать (нейтрализовать) все актуальные
+угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы.
+Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень актуальных угроз безопасности информации и их характеристики (потенциал, оснащенность, мотивация), включенные в модель угроз безопасности информации.
+При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, из адаптированного базового набора мер защиты информации сопоставляется мера защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы. В случае, если  адаптированный базовый набор мер защиты информации не обеспечивает перекрытие всех угроз безопасности информации в него дополнительно включаются меры защиты информации, приведенные в разделе 3 настоящего методического документа и приложении № 1 к нему. При этом содержание данной меры защиты информации определяется с учетом класса защищенности информационной системы и потенциала нарушителя.
+'''г) дополнение уточненного адаптированного базового набора мер защиты информации'''
+Дополнение уточненного адаптированного базового набора мер защиты информации осуществляется с целью выполнения требований о защите информации, установленных иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.
-б) адаптация базового набора мер защиты информации
+Дополнение уточненного адаптированного базового набора мер защиты информации может потребоваться в следующих случаях:
-Вторым шагом после определения базового состава мер защиты
+*а) если федеральным законом, указом Президента Российской Федерации, постановлением Правительства Российской Федерации, нормативными актами органа государственной власти или органа местного самоуправления,
-информации является изменение начально выбранного базового набора мер
+определяющими порядок создания и эксплуатации информационной системы, устанавливаются дополнительные требования к защите информации, выполнение которых не предусмотрено Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17;
-защиты информации в части его максимальной адаптации применительно к
+*б) политиками обеспечения информационной безопасности обладателя информации (заказчика), оператора и уполномоченного лица, разработанными по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства
-структуре, реализации и особенностям эксплуатации информационной
+обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», предъявлены дополнительные требования к защите информации в информационной системе.
-системы.
-При адаптации базового набора мер защиты информации учитываются:
+При дополнении уточненного адаптированного базового набора мер защиты информации возможны следующие действия:
-цели и задачи защиты информации в информационной системе;
+*1) может быть обосновано, что меры защиты информации, включенные в уточненный адаптированный базовый набор мер защиты информации, достаточны для выполнения требования, установленного федеральным законом, указом Президента Российской Федерации, постановлением Правительства Российской Федерации, нормативными актами органа государственной власти или органа местного самоуправления. В этом случае дополнение уточненного адаптированного базового набора мер защиты информации не требуется;
-перечень мероприятий проводимых оператором по обеспечению
+*2) могут быть усилены требования к некоторым мерам защиты информации, ранее включенным в уточненный адаптированный базовый набор мер защиты информации, и обоснована их достаточность для выполнения установленного нормативным правовым актом требования;
-безопасности в рамках организации в целом;
+*3) комбинированные варианты.
-применяемые информационные технологии и структурно-
-функциональные характеристики информационной системы.
-Адаптация базового набора мер защиты информации предусматривает
-исключение мер, непосредственно связанных с информационными
-технологиями, не используемыми в информационной системе, или структурно-
-функциональными характеристиками, не свойственными информационной
-системе.
-в) уточнение адаптированного базового набора мер защиты
-информации
-Уточнение адаптированного базового набора мер защиты информации
-проводится с целью оценки возможности адаптированного базового набора мер
-защиты информации адекватно блокировать (нейтрализовать) все актуальные
-угрозы безопасности информации, включенные в модель угроз безопасности
-информации, или снизить вероятность их реализации исходя из условий
-функционирования информационной системы.
-Исходными данными при уточнении адаптированного базового набора
-мер защиты информации являются перечень актуальных угроз безопасности
-информации и их характеристики (потенциал, оснащенность, мотивация),
-включенные в модель угроз безопасности информации.
-При уточнении адаптированного базового набора мер защиты
-информации для каждой угрозы безопасности информации, включенной в
-модель угроз, из адаптированного базового набора мер защиты информации
-сопоставляется мера защиты информации, обеспечивающая блокирование этой
-угрозы безопасности или снижающая вероятность ее реализации исходя из
-условий функционирования информационной системы. В случае, если
-адаптированный базовый набор мер защиты информации не обеспечивает
-перекрытие всех угроз безопасности информации в него дополнительно
-включаются меры защиты информации, приведенные в разделе 3 настоящего
-методического документа и приложении № 1 к нему. При этом содержание
-данной меры защиты информации определяется с учетом класса защищенности
-информационной системы и потенциала нарушителя.
-г) дополнение уточненного адаптированного базового набора мер
-защиты информации
-Дополнение уточненного адаптированного базового набора мер защиты
-информации осуществляется с целью выполнения требований о защите
-информации, установленных иными нормативными правовыми актами в
-области защиты информации, в том числе в области защиты персональных
-данных.
-Дополнение уточненного адаптированного базового набора мер защиты
-информации может потребоваться в следующих случаях:
-а) если федеральным законом, указом Президента Российской Федерации,
-постановлением Правительства Российской Федерации, нормативными актами
-органа государственной власти или органа местного самоуправления,
-определяющими порядок создания и эксплуатации информационной системы,
-устанавливаются дополнительные требования к защите информации,
-выполнение которых не предусмотрено Требованиями о защите информации,
-не составляющей государственную тайну, содержащейся в государственных
-информационных системах, утвержденных приказом ФСТЭК России от
-февраля 2013 г. № 17;
-б) политиками обеспечения информационной безопасности обладателя
-информации (заказчика), оператора и уполномоченного лица, разработанными
-по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства
-обеспечения безопасности. Системы менеджмента информационной
-безопасности. Требования», предъявлены дополнительные требования к защите
-информации в информационной системе.
-При дополнении уточненного адаптированного базового набора мер
-защиты информации возможны следующие действия:
-) может быть обосновано, что меры защиты информации, включенные в
-уточненный адаптированный базовый набор мер защиты информации,
-достаточны для выполнения требования, установленного федеральным
-законом, указом Президента Российской Федерации, постановлением
-Правительства Российской Федерации, нормативными актами органа
-государственной власти или органа местного самоуправления. В этом случае
-дополнение уточненного адаптированного базового набора мер защиты
-информации не требуется;
-) могут быть усилены требования к некоторым мерам защиты
-информации, ранее включенным в уточненный адаптированный базовый набор
-мер защиты информации, и обоснована их достаточность для выполнения
-установленного нормативным правовым актом требования;
-) комбинированные варианты.
 =3. СОДЕРЖАНИЕ МЕР ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =
-==3.1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА (ИАФ) ==
+==3.1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА (ИАФ)==
-ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
+===ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА===
-ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА
-Требования к реализации ИАФ.1: В информационной системе должна
+'''Требования к реализации ИАФ.1:'''
-обеспечиваться идентификация и аутентификация пользователей, являющихся
-работниками оператора.
+В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора.
-При доступе в информационную систему должна осуществляться
-идентификация и аутентификация пользователей, являющихся работниками
+При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.
-оператора (внутренних пользователей), и процессов, запускаемых от имени
-этих пользователей, а также процессов, запускаемых от имени системных
+К внутренним пользователям в целях настоящего документа, относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) с использованием информации,
-учетных записей.
+информационных технологий и технических средств информационной системы в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в информационной системе присвоены учетные записи.
-К внутренним пользователям в целях настоящего документа, относятся
-должностные лица оператора (пользователи, администраторы), выполняющие
+В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.
-свои должностные обязанности (функции) с использованием информации,
-информационных технологий и технических средств информационной системы
+Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД.11.
-в соответствии с должностными регламентами (инструкциями) утвержденными
-оператором и которым в информационной системе присвоены учетные записи.
+Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик или в случае многофакторной (двухфакторной) аутентификации – определенной комбинации вышеупомянутых и (или) других средств.
-В качестве внутренних пользователей дополнительно рассматриваются
-должностные лица обладателя информации, заказчика, уполномоченного лица
+В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми им процессами.
-и (или) оператора иной информационной системы, а также лица, привлекаемые
-на договорной основе для обеспечения функционирования информационной
-системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в
-соответствии с организационно-распорядительными документами оператора и
-которым в информационной системе также присвоены учетные записи.
-Пользователи информационной системы должны однозначно
-идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех
-видов доступа, которые определяются как действия, разрешенные до
-идентификации и аутентификации в соответствии с мерой защиты информации
-УПД.11.
-Аутентификация пользователя осуществляется с использованием
-паролей, аппаратных средств, биометрических характеристик или в случае
-многофакторной (двухфакторной) аутентификации – определенной
-комбинации вышеупомянутых и (или) других средств.
-В информационной системе должна быть обеспечена возможность
-однозначного сопоставления идентификатора пользователя с запускаемыми им
-процессами.
-Требования к усилению ИАФ.1:
-) в информационной системе должна обеспечиваться однозначная
-аутентификация пользователей на основе механизма пароля, соответствующего
-следующим характеристикам:
-а) длина пароля не менее шести символов, алфавит пароля не менее 30
-символов, максимальное количество неуспешных попыток аутентификации
-(ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка
-программно-технического средства или учетной записи пользователя в случае
-достижения установленного максимального количества неуспешных попыток
-аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней;
-б) длина пароля не менее шести символов, алфавит пароля не менее 60
-символов, максимальное количество неуспешных попыток аутентификации
-(ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка
-программно-технического средства или учетной записи пользователя в случае
-достижения установленного максимального количества неуспешных попыток
-аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней;
-в) длина пароля не менее шести символов, алфавит пароля не менее 70
-символов, максимальное количество неуспешных попыток аутентификации
-(ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка
-программно-технического средства или учетной записи пользователя в случае
-достижения установленного максимального количества неуспешных попыток
-аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней;
-г) длина пароля не менее восьми символов, алфавит пароля не менее 70
-символов, максимальное количество неуспешных попыток аутентификации
-(ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка
-программно-технического средства или учетной записи пользователя в случае
-достижения установленного максимального количества неуспешных попыток
-аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней;
-) в информационной системе должна обеспечиваться многофакторная
-(двухфакторная) аутентификация для сетевого (с использованием сети связи
-общего пользования, в том числе сеть Интернет) доступа в систему с правами
-привилегированных учетных записей (администраторов);
-) в информационной системе должна обеспечиваться многофакторная
-(двухфакторная) аутентификация для сетевого (с использованием сети связи
-общего пользования, в том числе сеть Интернет) доступа в систему с правами
-непривилегированных учетных записей (пользователей);
-) в информационной системе должна обеспечиваться многофакторная
-(двухфакторная) аутентификация для локального (без использования
-информационно-телекоммуникационной сети) доступа в систему с правами
-привилегированных учетных записей (администраторов);
-) в информационной системе должна обеспечиваться многофакторная
-(двухфакторная) аутентификация для локального (без использования
-информационно-телекоммуникационной сети) доступа в систему с правами
-непривилегированных учетных записей (пользователей); 15
-) в информационной системе должна обеспечиваться многофакторная
+'''Требования к усилению ИАФ.1:'''
-(двухфакторная) аутентификация при доступе в систему с правами
-привилегированных учетных записей (администраторов), где один из факторов
+*1) в информационной системе должна обеспечиваться однозначная аутентификация пользователей на основе механизма пароля, соответствующего следующим характеристикам:
-обеспечивается аппаратным устройством аутентификации, отделенным от
+**а) длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней;
-информационной системы, к которой осуществляется доступ;
+**б) длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней;
-) в информационной системе должна обеспечиваться многофакторная
+**в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней;
-(двухфакторная) аутентификация при доступе в систему с правами
+**г) длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней;
-непривилегированных учетных записей (пользователей), где один из факторов
+*2) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для сетевого (с использованием сети связи общего пользования, в том числе сеть Интернет) доступа в систему с правами привилегированных учетных записей (администраторов);
-обеспечивается устройством, отделенным от информационной системы, к
+*3) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для сетевого (с использованием сети связи общего пользования, в том числе сеть Интернет) доступа в систему с правами непривилегированных учетных записей (пользователей);
-которой осуществляется доступ;
+*4) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального (без использования информационно-телекоммуникационной сети) доступа в систему с правами привилегированных учетных записей (администраторов);
-) в информационной системе должен использоваться механизм
+*5) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального (без использования информационно-телекоммуникационной сети) доступа в систему с правами
-одноразовых паролей при аутентификации пользователей, осуществляющих
+непривилегированных учетных записей (пользователей);
-сетевой доступ.
+*6) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами привилегированных учетных записей (администраторов), где один из факторов
+обеспечивается аппаратным устройством аутентификации, отделенным от информационной системы, к которой осуществляется доступ;
+*7) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов
+обеспечивается устройством, отделенным от информационной системы, к которой осуществляется доступ;
+*8) в информационной системе должен использоваться механизм одноразовых паролей при аутентификации пользователей, осуществляющих сетевой доступ.
-Содержание базовой меры ИАФ.1:
+'''Содержание базовой меры ИАФ.1:'''
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ИАФ.1 + + + +
-Усиление ИАФ.1 1а 1б 1в, 2, 3, 4 1г, 2, 3, 4, 5
-ИАФ.2 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВ, В
-ТОМ ЧИСЛЕ СТАЦИОНАРНЫХ, МОБИЛЬНЫХ И ПОРТАТИВНЫХ
-Требования к реализации ИАФ.2: В информационной системе до
-начала информационного взаимодействия (передачи защищаемой информации
-от устройства к устройству) должна осуществляться однозначная
-идентификация и аутентификация устройств (технических средств).
-Оператором должен быть определен перечень типов устройств,
-используемых в информационной системе и подлежащих идентификации и
-аутентификации до начала информационного взаимодействия.
-Идентификация устройств в информационной системе обеспечивается по
-логическим именам (имя устройства и (или) ID), логическим адресам
-(например, IP-адресам) и (или) по физическим адресам (например, МАС-
-адресам) устройства или по комбинации имени, логического и (или)
-физического адресов устройства.
-Требования к усилению ИАФ.2:
-) в информационной системе должна обеспечиваться аутентификация
-устройств до начала информационного взаимодействия с ними:
-а) взаимная аутентификация устройства и средства вычислительной
-техники (или другого взаимодействующего устройства); 16
-б) аутентификация по уникальным встроенным средствам
-аутентификации.
-Содержание базовой меры ИАФ.2:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ИАФ.2 + +
-Усиление ИАФ.2
-ИАФ.3 УПРАВЛЕНИЕ ИДЕНТИФИКАТОРАМИ, В ТОМ ЧИСЛЕ
-СОЗДАНИЕ, ПРИСВОЕНИЕ, УНИЧТОЖЕНИЕ ИДЕНТИФИКАТОРОВ
-Требования к реализации ИАФ.3: Оператором должны быть
-установлены и реализованы следующие функции управления
-идентификаторами пользователей и устройств в информационной системе:
-определение должностного лица (администратора) оператора,
-ответственного за создание, присвоение и уничтожение идентификаторов
-пользователей и устройств;
-формирование идентификатора, который однозначно идентифицирует
-пользователя и (или) устройство;
-присвоение идентификатора пользователю и (или) устройству;
-предотвращение повторного использования идентификатора
-пользователя и (или) устройства в течение установленного оператором периода
-времени;
-блокирование идентификатора пользователя после установленного
-оператором времени неиспользования.
-Требование к усилению ИАФ.3:
-) оператором должно быть исключено повторное использование
-идентификатора пользователя в течение:
-а) одного года;
-б) в течение трех лет;
-) оператором должно быть обеспечено блокирование идентификатора
-пользователя через период времени неиспользования:
-а) не более 90 дней;
-б) не более 45 дней;
-) оператором должно быть обеспечено использование
-идентификационной информации пользователя, введенной им при входе в
-информационную систему, для доступа к прикладному (специальному)
-программному обеспечению (технология однократного ввода
-идентификационной информации пользователей); 17
-) оператором должно быть исключено использование идентификатора
-пользователя информационной систем в качестве акаунтов пользователей
-электронной почты и иных сервисов;
-) оператором должно быть обеспечено управление идентификаторами
-внешних пользователей, учетные записи которых используются для доступа к
-общедоступным ресурсам информационной системы.
-Содержание базовой меры ИАФ.3:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ИАФ.3 + + + +
-Усиление ИАФ.3 1а, 2а 1а, 2а 1б, 2б
-ИАФ.4 УПРАВЛЕНИЕ СРЕДСТВАМИ АУТЕНТИФИКАЦИИ, В ТОМ
-ЧИСЛЕ ХРАНЕНИЕ, ВЫДАЧА, ИНИЦИАЛИЗАЦИЯ, БЛОКИРОВАНИЕ
-СРЕДСТВ АУТЕНТИФИКАЦИИ И ПРИНЯТИЕ МЕР В СЛУЧАЕ УТРАТЫ И
-(ИЛИ) КОМПРОМЕТАЦИИ СРЕДСТВ АУТЕНТИФИКАЦИИ
-Требования к реализации ИАФ.4: Оператором должны быть
-установлены и реализованы следующие функции управления средствами
-аутентификации пользователей и устройств в информационной системе:
-определение должностного лица (администратора) оператора,
-ответственного за хранение, выдачу, инициализацию, блокирование средств
-аутентификации и принятие мер в случае утраты и (или) компрометации
-средств аутентификации;
-изменение значений средств аутентификации (аутентификационной
-информации), заданных их производителями;
-выдача средств аутентификации пользователям;
-генерация и выдача начальных значений средств аутентификации
-(начальной аутентификационной информации);
-блокирование (прекращение действия) и замена утерянных,
-скомпрометированных или поврежденных средств аутентификации;
-назначение необходимых характеристик средств аутентификации (в том
-числе механизма пароля);
-замена средств аутентификации (обновление аутентификационной
-информации) с периодичностью, установленной оператором;
-защита аутентификационной информации от неправомерных доступа к
-ней и модифицирования.
-Требование к усилению ИАФ.4:
-) в информационной системе, в которой аутентификация реализована на
-основе пароля, должны быть установлены следующие характеристики средств
-аутентификации (механизм пароля):
-а) задание минимальной сложности пароля с определяемыми оператором
-требованиями к регистру, количеству символов, сочетанию букв верхнего и
-нижнего регистра, цифр и специальных символов;
-б) задание минимального количества измененных символов при создании
-новых паролей;
-в) задание максимального времени действия пароля;
-г) задание минимального времени действия пароля;
-д) запрет на использование пользователями определенного оператором
-числа последних использованных паролей при создании новых паролей;
-) в информационной системе должно быть обеспечено использование
-автоматизированных средств для формирования аутентификационной
-информации (генераторов паролей) с требуемыми характеристиками стойкости
-(силы) механизма аутентификации и для оценки характеристик этих
-механизмов;
-) в информационной системе должно быть обеспечено использование
-серверов и (или) программного обеспечения аутентификации для единой
-аутентификации в элементах информационной системы и компонентах
-программного обеспечения, предусматривающего собственную
-аутентификацию;
-) оператор должен обеспечить получение (запросить) у поставщика
-технических средств и программного обеспечения информационной системы
-аутентификационную информацию, заданную производителем этих
-технических средств и программного обеспечения и не указанную в
-эксплуатационной документации;
-) оператором должны быть определены меры по исключению
-возможности использования пользователями их идентификаторов и паролей в
-других информационных системах.
-Содержание базовой меры ИАФ.4
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ИАФ.4 + + + +
-Усиление ИАФ.4 1а, 1в 1а, 1в 1а, 1в, 1д 1а, 1в, 1д
-ИАФ.5 ЗАЩИТА ОБРАТНОЙ СВЯЗИ ПРИ ВВОДЕ
-АУТЕНТИФИКАЦИОННОЙ ИНФОРМАЦИИ
-Требования к реализации ИАФ.5: В информационной системе должна
-осуществляться защита аутентификационной информации в процессе ее ввода
-для аутентификации от возможного использования лицами, не имеющими на
-это полномочий.
-Защита обратной связи «система - субъект доступа» в процессе
-аутентификации обеспечивается исключением отображения для пользователя
-действительного значения аутентификационной информации и (или)
-количества вводимых пользователем символов аутентификационной
-информации. Вводимые символы пароля могут отображаться условными
-знаками «*», «» или иными знаками.
-Требования к усилению ИАФ.5:
-Не установлены.
-Содержание базовой меры ИАФ.5:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ИАФ.5 + + + +
-Усиление ИАФ.5
-ИАФ.6 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
-ПОЛЬЗОВАТЕЛЕЙ, НЕ ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА
-(ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ)
-Требования к реализации ИАФ.6: В информационной системе должна
-осуществляться однозначная идентификация и аутентификация пользователей,
-не являющихся работниками оператора (внешних пользователей), или
-процессов, запускаемых от имени этих пользователей.
-К пользователям, не являющимся работникам оператора (внешним
-пользователям), относятся все пользователи информационной системы, не
-указанные в ИАФ.1 в качестве внутренних пользователей. Примером внешних
-пользователей являются граждане, на законных основаниях через сеть
-Интернет получающие доступ к информационным ресурсам портала
-Государственных услуг Российской Федерации «Электронного правительства»
-или официальным сайтам в сети Интернет органов государственной власти.
-Пользователи информационной системы должны однозначно
-идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех
-видов доступа, которые определяются как действия, разрешенные до 20
-идентификации и аутентификации в соответствии с мерой защиты информации
-УПД.11.
-Идентификация и аутентификация внешних пользователей в целях
-предоставления государственных услуг осуществляется в том числе с
-использованием единой системы идентификации и аутентификации, созданной
-в соответствии с постановлением Правительства Российской Федерации от 28
-ноября 2011 г. № 977.
-Требования к усилению ИАФ.6:
-Не установлены.
-Содержание базовой меры ИАФ.6:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ИАФ.6 + + + +
-Усиление ИАФ.6
-ИАФ.7 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ОБЪЕКТОВ
-ФАЙЛОВОЙ СИСТЕМЫ, ЗАПУСКАЕМЫХ И ИСПОЛНЯЕМЫХ МОДУЛЕЙ,
-ОБЪЕКТОВ СИСТЕМ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ, ОБЪЕКТОВ,
-СОЗДАВАЕМЫХ ПРИКЛАДНЫМ И СПЕЦИАЛЬНЫМ ПРОГРАММНЫМ
-ОБЕСПЕЧЕНИЕМ, ИНЫХ ОБЪЕКТОВ ДОСТУПА
-Требования к реализации ИАФ.7: В информационной системе должна
-осуществляться идентификация и аутентификация объектов файловой системы,
-запускаемых и исполняемых модулей, объектов систем управления базами
-данных, объектов, создаваемых прикладным и специальным программным
-обеспечением, иных объектов доступа.
-Требования к усилению ИАФ.7:
-) в информационной системе должна обеспечиваться аутентификация
-объектов файловой системы, предусматривающая при верификации (проверке)
-свидетельства подлинности информации проверку идентификатора
-пользователя, который создал свидетельство подлинности информации (в том
-числе электронной подписи);
-) в информационной системе должна обеспечиваться аутентификация
-запускаемых и исполняемых модулей (в том числе по цифровым сигнатурам
-производителя).
-Содержание базовой меры ИАФ.7:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ИАФ.7
-Усиление ИАФ.7
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" |ИАФ.1
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ИАФ.1
+ |align="center" | 1а
+ |align="center" | 1б
+ |align="center" | 1в, 2, 3, 4
+ |align="center" | 1г, 2, 3, 4, 5
+ |}
+===ИАФ.2 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВ, В ТОМ ЧИСЛЕ СТАЦИОНАРНЫХ, МОБИЛЬНЫХ И ПОРТАТИВНЫХ===
+'''Требования к реализации ИАФ.2:'''
+В информационной системе до  начала информационного взаимодействия (передачи защищаемой информации от устройства к устройству) должна осуществляться однозначная идентификация и аутентификация устройств (технических средств).
+Оператором должен быть определен перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации до начала информационного взаимодействия.
+Идентификация устройств в информационной системе обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС- адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства.
+'''Требования к усилению ИАФ.2:'''
+) в информационной системе должна обеспечиваться аутентификация устройств до начала информационного взаимодействия с ними:
+*а) взаимная аутентификация устройства и средства вычислительной техники (или другого взаимодействующего устройства);
+*б) аутентификация по уникальным встроенным средствам аутентификации.
+'''Содержание базовой меры ИАФ.2:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.2 + +
+Усиление ИАФ.2
+===ИАФ.3 УПРАВЛЕНИЕ ИДЕНТИФИКАТОРАМИ, В ТОМ ЧИСЛЕ СОЗДАНИЕ, ПРИСВОЕНИЕ, УНИЧТОЖЕНИЕ ИДЕНТИФИКАТОРОВ===
+'''Требования к реализации ИАФ.3:'''
+Оператором должны быть  установлены и реализованы следующие функции управления идентификаторами пользователей и устройств в информационной системе:
+*определение должностного лица (администратора) оператора, ответственного за создание, присвоение и уничтожение идентификаторов пользователей и устройств;
+*формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;
+*присвоение идентификатора пользователю и (или) устройству;
+*предотвращение повторного использования идентификатора пользователя и (или) устройства в течение установленного оператором периода времени;
+*блокирование идентификатора пользователя после установленного оператором времени неиспользования.
+'''Требование к усилению ИАФ.3:'''
+*1) оператором должно быть исключено повторное использование идентификатора пользователя в течение:
+**а) одного года;
+**б) в течение трех лет;
+*2) оператором должно быть обеспечено блокирование идентификатора пользователя через период времени неиспользования:
+**а) не более 90 дней;
+**б) не более 45 дней;
+*3) оператором должно быть обеспечено использование идентификационной информации пользователя, введенной им при входе в информационную систему, для доступа к прикладному (специальному) программному обеспечению (технология однократного ввода идентификационной информации пользователей);
+*4) оператором должно быть исключено использование идентификатора пользователя информационной систем в качестве акаунтов пользователей электронной почты и иных сервисов;
+*5) оператором должно быть обеспечено управление идентификаторами внешних пользователей, учетные записи которых используются для доступа к общедоступным ресурсам информационной системы.
+'''Содержание базовой меры ИАФ.3:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.3 + + + +
+Усиление ИАФ.3 1а, 2а 1а, 2а 1б, 2б
+===ИАФ.4 УПРАВЛЕНИЕ СРЕДСТВАМИ АУТЕНТИФИКАЦИИ, В ТОМ ЧИСЛЕ ХРАНЕНИЕ, ВЫДАЧА, ИНИЦИАЛИЗАЦИЯ, БЛОКИРОВАНИЕ СРЕДСТВ АУТЕНТИФИКАЦИИ И ПРИНЯТИЕ МЕР В СЛУЧАЕ УТРАТЫ И (ИЛИ) КОМПРОМЕТАЦИИ СРЕДСТВ АУТЕНТИФИКАЦИИ===
+'''Требования к реализации ИАФ.4:'''
+Оператором должны быть  установлены и реализованы следующие функции управления средствами аутентификации пользователей и устройств в информационной системе:
+*определение должностного лица (администратора) оператора, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
+*изменение значений средств аутентификации (аутентификационной информации), заданных их производителями;
+*выдача средств аутентификации пользователям;
+*генерация и выдача начальных значений средств аутентификации (начальной аутентификационной информации);
+*блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;
+*назначение необходимых характеристик средств аутентификации (в том числе механизма пароля);
+*замена средств аутентификации (обновление аутентификационной информации) с периодичностью, установленной оператором;
+*защита аутентификационной информации от неправомерных доступа к ней и модифицирования.
+'''Требование к усилению ИАФ.4:'''
+*1) в информационной системе, в которой аутентификация реализована на основе пароля, должны быть установлены следующие характеристики средств аутентификации (механизм пароля):
+**а) задание минимальной сложности пароля с определяемыми оператором требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;
+**б) задание минимального количества измененных символов при создании новых паролей;
+**в) задание максимального времени действия пароля;
+**г) задание минимального времени действия пароля;
+**д) запрет на использование пользователями определенного оператором числа последних использованных паролей при создании новых паролей;
+*2) в информационной системе должно быть обеспечено использование автоматизированных средств для формирования аутентификационной информации (генераторов паролей) с требуемыми характеристиками стойкости (силы) механизма аутентификации и для оценки характеристик этих механизмов;
+*3) в информационной системе должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации для единой аутентификации в элементах информационной системы и компонентах программного обеспечения, предусматривающего собственную аутентификацию;
+*4) оператор должен обеспечить получение (запросить) у поставщика технических средств и программного обеспечения информационной системы аутентификационную информацию, заданную производителем этих технических средств и программного обеспечения и не указанную в эксплуатационной документации;
+*5) оператором должны быть определены меры по исключению возможности использования пользователями их идентификаторов и паролей в других информационных системах.
+'''Содержание базовой меры ИАФ.4'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.4 + + + +
+Усиление ИАФ.4 1а, 1в 1а, 1в 1а, 1в, 1д 1а, 1в, 1д
+===ИАФ.5 ЗАЩИТА ОБРАТНОЙ СВЯЗИ ПРИ ВВОДЕ АУТЕНТИФИКАЦИОННОЙ ИНФОРМАЦИИ===
+'''Требования к реализации ИАФ.5:'''
+В информационной системе должна  осуществляться защита аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий.
+Защита обратной связи «система - субъект доступа» в процессе аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками «*», «?» или иными знаками.
+'''Требования к усилению ИАФ.5:'''
+Не установлены.
+'''Содержание базовой меры ИАФ.5:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.5 + + + +
+Усиление ИАФ.5
+===ИАФ.6 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, НЕ ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА (ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ)===
+'''Требования к реализации ИАФ.6:'''
+В информационной системе должна  осуществляться однозначная идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей), или процессов, запускаемых от имени этих пользователей.
+К пользователям, не являющимся работникам оператора (внешним пользователям), относятся все пользователи информационной системы, не указанные в ИАФ.1 в качестве внутренних пользователей. Примером внешних  пользователей являются граждане, на законных основаниях через сеть Интернет получающие доступ к информационным ресурсам портала Государственных услуг Российской Федерации «Электронного правительства» или официальным сайтам в сети Интернет органов государственной власти.
+Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до 20 идентификации и аутентификации в соответствии с мерой защиты информации УПД.11.
+Идентификация и аутентификация внешних пользователей в целях предоставления государственных услуг осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977.
+'''Требования к усилению ИАФ.6:'''
+Не установлены.
+'''Содержание базовой меры ИАФ.6:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.6 + + + +
+Усиление ИАФ.6
+===ИАФ.7 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ОБЪЕКТОВ ФАЙЛОВОЙ СИСТЕМЫ, ЗАПУСКАЕМЫХ И ИСПОЛНЯЕМЫХ МОДУЛЕЙ, ОБЪЕКТОВ СИСТЕМ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ, ОБЪЕКТОВ, СОЗДАВАЕМЫХ ПРИКЛАДНЫМ И СПЕЦИАЛЬНЫМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ, ИНЫХ ОБЪЕКТОВ ДОСТУПА===
+'''Требования к реализации ИАФ.7:'''
+В информационной системе должна  осуществляться идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа.
+'''Требования к усилению ИАФ.7:'''
+*1) в информационной системе должна обеспечиваться аутентификация объектов файловой системы, предусматривающая при верификации (проверке) свидетельства подлинности информации проверку идентификатора пользователя, который создал свидетельство подлинности информации (в том числе электронной подписи);
+*2) в информационной системе должна обеспечиваться аутентификация запускаемых и исполняемых модулей (в том числе по цифровым сигнатурам производителя).
+'''Содержание базовой меры ИАФ.7:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 ИАФ.7
+Усиление ИАФ.7
 ==3.2. УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА (УПД) ==
+===УПД.1 УПРАВЛЕНИЕ (ЗАВЕДЕНИЕ, АКТИВАЦИЯ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ) УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ, В ТОМ ЧИСЛЕ ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ===
+'''Требования к реализации УПД.1:'''
+Оператором должны быть
+установлены и реализованы следующие функции управления учетными записями пользователей, в том числе внешних пользователей: определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или)
+иные типы записей);
+*объединение учетных записей в группы (при необходимости);
+*верификацию пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;
+*заведение, активация, блокирование и уничтожение учетных записей пользователей;
+*пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью, определяемой оператором;
+*порядок заведения и контроля использования гостевых (анонимных) и временных учетных записей пользователей, а также привилегированных учетных записей администраторов;
+*оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;
+*уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;
+*предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в информационной системе и взаимодействующими с ней информационными системами.
+Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).
+'''Требования к усилению УПД.1:'''
+) оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей; 23
+) в информационной системе должно осуществляться автоматическое блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования;
+*3) в информационной системе должно осуществляться автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования: а) более 90 дней;
+*б) более 45 дней;
+*4) в информационной системе должно осуществляться автоматическое блокирование учетных записей пользователей: а) при превышении установленного оператором числа неуспешных попыток аутентификации пользователя;
+*б) при выявлении по результатам мониторинга (просмотра, анализа) журналов регистрации событий безопасности действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации;
+*5) в информационной системе должен осуществляться автоматический контроль заведения, активации, блокирования и уничтожения учетных записей пользователей и оповещение администраторов о результатах автоматического контроля.
+'''Содержание базовой меры УПД.1:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.1 + + + +
+Усиление УПД.1
+, 2 1, 2, 3а 1, 2, 3б
+===УПД.2 РЕАЛИЗАЦИЯ НЕОБХОДИМЫХ МЕТОДОВ УПРАВЛЕНИЯ ДОСТУПОМ (ДИСКРЕЦИОННЫЙ, МАНДАТНЫЙ, РОЛЕВОЙ ИЛИ ИНОЙ МЕТОД), ТИПОВ (ЧТЕНИЕ, ЗАПИСЬ, ВЫПОЛНЕНИЕ ИЛИ ИНОЙ ТИП) И ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА===
+'''Требования к реализации УПД.2:'''
+В информационной системе для
+управления доступом субъектов доступа к объектам доступа должны быть реализованы установленные оператором методы управления доступом, назначены типы доступа субъектов к объектам доступа и реализованы правила разграничения доступа субъектов доступа к объектам доступа.
+Методы управления доступом реализуются в зависимости от особенностей функционирования информационной системы, с учетом угроз безопасности информации и должны включать один или комбинацию следующих методов:
+*24  дискреционный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и списка объекта доступа, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа;
+*ролевой метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе ролей субъектов доступа (совокупность действий и обязанностей, связанных с определенным видом деятельности);
+*мандатный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе сопоставления классификационных меток каждого субъекта доступа и каждого объекта доступа, отражающих классификационные уровни субъектов доступа и объектов доступа, являющиеся комбинациями иерархических и неиерархических категорий.
+Типы доступа должны включать операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей) или запускаемому от его имени процессу при доступе к объектам доступа.
+Правила разграничения доступа реализуются на основе установленных и задокументированных оператором списков доступа или матриц доступа и должны обеспечивать управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, устройствам, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации, а также иным объектам доступа.
+'''Требования к усилению УПД.2:'''
+) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов при входе в информационную систему;
+*2) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к техническим средствам, устройствам, внешним устройствам;
+*3) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым общесистемным (общим) программным обеспечением;
+*4) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым прикладным и специальным программным обеспечением.
+'''Содержание базовой меры УПД.2:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.2 + + + +
+Усиление УПД.2
+, 2, 3 1, 2, 3 1, 2, 3, 4
+===УПД.3 УПРАВЛЕНИЕ (ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ, КОНТРОЛЬ СОЕДИНЕНИЙ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА И ИНЫЕ СПОСОБЫ УПРАВЛЕНИЯ) ИНФОРМАЦИОННЫМИ ПОТОКАМИ МЕЖДУ УСТРОЙСТВАМИ, СЕГМЕНТАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ, А ТАКЖЕ МЕЖДУ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ===
+'''Требования к реализации УПД.3:'''
+В информационной системе должно
+осуществляться управление информационными потоками при передаче информации между устройствами, сегментами в рамках информационной системы, включающее: фильтрацию информационных потоков в соответствии с правилами управления потоками, установленными оператором;
+*разрешение передачи информации в информационной системе только по маршруту, установленному оператором;
+*изменение (перенаправление) маршрута передачи информации в случаях, установленных оператором;
+*запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи в случаях, установленных оператором.
+Управление информационными потоками должно обеспечивать разрешенный (установленный оператором) маршрут прохождения информации между пользователями, устройствами, сегментами в рамках информационной системы, а также между информационными системами или при взаимодействии с сетью Интернет (или другими информационно- телекоммуникационными сетями международного информационного обмена) на основе правил управления информационными потоками, включающих контроль конфигурации информационной системы, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации). Управление информационными потоками должно
+блокировать передачу защищаемой информации через сеть Интернет (или другие информационно-телекоммуникационные сети международного информационного обмена) по незащищенным линиям связи, сетевые запросы и трафик, несанкционированно исходящие из информационной системы и (или) входящие в информационную систему. 26
+'''Требования к усилению УПД.3:'''
+) в информационной системе должно обеспечиваться управление информационными потоками на основе атрибутов (меток) безопасности, связанных с передаваемой информацией, источниками и получателями информации;
+*2) в информационной системе должно обеспечиваться динамическое управление информационными потоками, запрещающее и (или) разрешающее передачу информации на основе анализа изменения текущего состояния информационной системы или условий ее функционирования;
+*3) в информационной системе должен исключаться обход правил управления информационными потоками за счет преобразования передаваемой информации;
+*4) в информационной системе должен исключаться обход правил управления информационными потоками за счет встраивания одних данных в другие данные информационного потока;
+*5) в информационной системе должен обеспечиваться контроль соединений между техническими средствами (устройствами), используемыми для организации информационных потоков;
+*6) в информационной системе при передаче информации между сегментами информационной системы и (или) информационными системами разных классов защищенности должна обеспечиваться однонаправленная передача информации с использованием аппаратных средств;
+*7) в информационной системе должно обеспечиваться управление информационными потоками на основе структуры передаваемых данных (текст, таблицы, видео, аудиоинформация);
+*8) в информационной системе должно обеспечиваться управление информационными потоками на основе используемых сетевых протоколов;
+*9) в информационной системе должно обеспечиваться управление информационными потоками на основе типов (расширений) файлов и (или) имен файлов;
+*10) в информационной системе должна обеспечиваться возможность запрета, разрешения и изменения маршрута передачи информации только администраторами;
+*11) в информационной системе должно обеспечиваться разделение информационных потоков, содержащих различные виды (категории) информации, а также отделение информации управления от пользовательской информации;
+*12) в информационной системе должна обеспечиваться возможность автоматического блокирования передачи информации при выявлении в передаваемой информации вредоносных компьютерных программ;
+*13) в информационной системе должно осуществляться управление информационными потоками при передаче информации между информационными системами; 27
+) в информационной системе должна обеспечиваться возможность фильтрации информационных потоков на прикладном уровне базовой эталонной модели взаимосвязи открытых систем.
+'''Содержание базовой меры УПД.3:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.3
++ + Усиление УПД.3
+===УПД.4 РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ (РОЛЕЙ) ПОЛЬЗОВАТЕЛЕЙ, АДМИНИСТРАТОРОВ И ЛИЦ, ОБЕСПЕЧИВАЮЩИХ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ===
+'''Требования к реализации УПД.4:'''
+Оператором должно быть обеспечено
+разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, в соответствии с их должностными обязанностями (функциями), документирование в организационно-распорядительных документах по защите информации полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей).
+Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с УПД.2.
+'''Требования к усилению УПД.4:'''
+) оператором должно быть обеспечено выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом;
+*2) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по обработке информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы;
+*3) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по контролю (мониторингу) за обеспечением уровня защищенности информации и полномочиями (ролью) по 28  администрированию информационной системы и (или) ее системы защиты информации и обеспечению функционирования информационной системы;
+*4) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по администрированию системы защиты информации информационной системы и полномочиями (ролью) по обеспечению функционирования информационной системы;
+*5) оператором должен быть определен администратор, имеющий права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющий контроль за использованием переданных полномочий (супервизор).
+'''Содержание базовой меры УПД.4:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.4
++ + + Усиление УПД.4
+===УПД.5 НАЗНАЧЕНИЕ МИНИМАЛЬНО НЕОБХОДИМЫХ ПРАВ И ПРИВИЛЕГИЙ ПОЛЬЗОВАТЕЛЯМ, АДМИНИСТРАТОРАМ И ЛИЦАМ, ОБЕСПЕЧИВАЮЩИМ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ===
+'''Требования к реализации УПД.5:'''
+Оператором должно быть обеспечено
+назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями.
+Оператором должны быть однозначно определены должностные обязанности (функции) и объекты доступа, в отношении которых установлен наименьший уровень привилегий. Доступ к объектам доступа с учетом
+минимально необходимых прав и привилегий обеспечивается в соответствии с УПД.2.
+'''Требования к усилению УПД.5:'''
+) оператором должно быть обеспечено предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты информации (администратору безопасности); 29
+) запрет предоставления расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними пользователями).
+'''Содержание базовой меры УПД.5:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.5
++ + + Усиление УПД.5
+===УПД.6 ОГРАНИЧЕНИЕ НЕУСПЕШНЫХ ПОПЫТОК ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ (ДОСТУПА К ИНФОРМАЦИОННОЙ СИСТЕМЕ)===
+'''Требования к реализации УПД.6:'''
+В информационной системе должно
+быть установлено ограничение количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за период времени, установленный оператором, а также обеспечено блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени.
+Ограничение количества неуспешных попыток входа в информационную систему (доступа к информационной системе) должно обеспечиваться в соответствии с ИАФ.1.
+'''Требования к усилению УПД.6:'''
+) в информационной системе обеспечивается автоматическое блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени с возможностью разблокирования только администратором или иным лицом, имеющим соответствующие полномочия (роль);
+*2) в информационной системе обеспечивается автоматическое удаление информации с мобильного технического средства, входящего в состав информационной системы, при превышении допустимого числа неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени, осуществляемых с мобильного устройства;
+*3) в информационной системе обеспечивается противодействие автоматизированному подбору паролей с использованием однократных кодов, 30  требующих визуального распознавания (в том числе с использованием технологии CAPTCHA).
+'''Содержание базовой меры УПД.6:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.6 + + + +
+Усиление УПД.6
+===УПД.7 ПРЕДУПРЕЖДЕНИЕ ПОЛЬЗОВАТЕЛЯ ПРИ ЕГО ВХОДЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ О ТОМ, ЧТО В ИНФОРМАЦИОННОЙ СИСТЕМЕ РЕАЛИЗОВАНЫ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ, И О НЕОБХОДИМОСТИ СОБЛЮДЕНИЯ ИМ УСТАНОВЛЕННЫХ ОПЕРАТОРОМ ПРАВИЛ ОБРАБОТКИ ИНФОРМАЦИИ===
+'''Требования к реализации УПД.7:'''
+В информационной системе должно
+быть обеспечено предупреждение пользователя в виде сообщения («окна») при его входе в информационную систему (до процесса аутентификации) о том, что в информационной системе реализованы меры защиты информации, а также о том, что при работе в информационной системе пользователем должны быть соблюдены установленные оператором правила и ограничения на работу с информацией.
+Вход в информационную систему и предоставление пользователю возможности работы в информационной системе осуществляются только после подтверждения пользователем ознакомления с предупреждением.
+'''Требования к усилению УПД.7:'''
+Не установлены.
+'''Содержание базовой меры УПД.7:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.7
+Усиление УПД.7
+===УПД.8 ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЯ ПОСЛЕ УСПЕШНОГО ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ О ЕГО ПРЕДЫДУЩЕМ ВХОДЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ===
+'''Требования к реализации УПД.8:'''
+В информационной системе должно
+быть обеспечено после успешного входа пользователя в информационную систему (завершения процесса аутентификации) оповещение этого пользователя о дате и времени предыдущего входа в информационную систему от имени этого пользователя.
+'''Требования к усилению УПД.8:'''
+) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему о количестве неуспешных попыток входа в информационную систему (доступа к информационной системе), зафиксированных с момента последнего успешного входа в информационную систему;
+*2) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему о количестве успешных и (или) неуспешных попыток входа в информационную систему (доступа к информационной системе), зафиксированных за период времени не менее 7 дней;
+*3) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему об изменения сведений, относящихся к учетной записи пользователя (в том числе изменении прав доступа), произведенных за период времени не менее, чем с момента предыдущего успешного входа в информационную систему.
+'''Содержание базовой меры УПД.8:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.8
+Усиление УПД.8
+===УПД.9 ОГРАНИЧЕНИЕ ЧИСЛА ПАРАЛЛЕЛЬНЫХ СЕАНСОВ ДОСТУПА ДЛЯ КАЖДОЙ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ===
+'''Требования к реализации УПД.9:'''
+В информационной системе должно
+обеспечиваться ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы. 32
+В информационной системе должна быть предусмотрена возможность задавать ограничения на число параллельных (одновременных) сеансов (сессий), основываясь на идентификаторах пользователей и (или) принадлежности к определенной роли.
+Значение числа параллельных сеансов доступа может быть задано для информационной системы в целом, для отдельных сегментов информационной системы, для групп пользователей, отдельных пользователей или их комбинаций.
+'''Требования к усилению УПД.9:'''
+) в информационной системе для привилегированных учетных записей (администраторов) количество параллельных (одновременных) сеансов (сессий) от их имени с разных устройств (средств вычислительной техники) не должно превышать следующих значений: а) не более 2;
+*б) не более 1;
+*2) в информационной системе в случае попытки входа под учетной записью пользователя или администратора, для которых достигнуто максимальное значение допустимых параллельных сеансов, при успешной аутентификации пользователя или администратора должно выдаваться сообщение о превышении числа параллельных сеансов доступа, месте (местах) их предыдущего входа (предыдущих входов) с активными сессиями и предложением отключения этой сессии (этих сессий);
+*3) в информационной системе должны быть предусмотрены программно- технические средства, позволяющие контролировать и отображать администратору число активных параллельных (одновременных) сеансов (сессий) для каждой учетной записи пользователей;
+*4) в информационной системе должны быть предусмотрены программно- технические средства, позволяющие оповещать администратора о попытках превышения числа установленных допустимых активных параллельных (одновременных) сеансов (сессий) для каждой учетной записи пользователя.
+'''Содержание базовой меры УПД.9:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.9
++ Усиление УПД.9
+а, 3
+===УПД.10 БЛОКИРОВАНИЕ СЕАНСА ДОСТУПА В ИНФОРМАЦИОННУЮ СИСТЕМУ ПОСЛЕ УСТАНОВЛЕННОГО ВРЕМЕНИ БЕЗДЕЙСТВИЯ (НЕАКТИВНОСТИ) ПОЛЬЗОВАТЕЛЯ ИЛИ ПО ЕГО ЗАПРОСУ===
+'''Требования к реализации УПД.10:'''
+В информационной системе должно
+обеспечиваться блокирование сеанса доступа пользователя после установленного оператором времени его бездействия (неактивности) в информационной системе или по запросу пользователя.
+Блокирование сеанса доступа пользователя в информационную систему обеспечивает временное приостановление работы пользователя со средством вычислительной техники, с которого осуществляется доступ к информационной системе (без выхода из информационной системы).
+Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.
+Блокирование сеанса доступа пользователя в информационную систему должно сохраняться до прохождения им повторной идентификации и аутентификации в соответствии с ИАФ.1.
+'''Требования к усилению УПД.10:'''
+) в информационной системе обеспечивается блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя: а) до 15 минут;
+*б) до 5 минут;
+*2) в информационной системе на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя (в том числе использование «хранителя экрана», гашение экрана или иные способы);
+*3) в информационной системе обеспечивается завершение сеанса пользователя (выхода из системы) после превышения установленного оператором времени бездействия (неактивности) пользователя.
+'''Содержание базовой меры УПД.10:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.10
++ + + Усиление УПД.10
+а, 2 1б, 2
+===УПД.11 РАЗРЕШЕНИЕ (ЗАПРЕТ) ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ, РАЗРЕШЕННЫХ ДО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ===
+'''Требования к реализации УПД.11:'''
+Оператором устанавливается
+перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий пользователей, не включенных в перечень разрешенных действий, до прохождения пользователями процедур идентификации и аутентификации.
+Разрешение действий пользователей до прохождения ими процедур идентификации и аутентификации осуществляется, в том числе, при предоставлении пользователям доступа к общедоступной информации (веб- сайтам, порталам, иным общедоступным ресурсам). Также администратору
+разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).
+'''Требования к усилению УПД.11:'''
+Не установлены.
+'''Содержание базовой меры УПД.11:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.11
++ + Усиление УПД.11
+===УПД.12 ПОДДЕРЖКА И СОХРАНЕНИЕ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ В ПРОЦЕССЕ ЕЕ ХРАНЕНИЯ И ОБРАБОТКИ===
+'''Требования к реализации УПД.12:'''
+В информационной системе должно
+обеспечиваться поддержка (обновление, назначение, изменение) и сохранение атрибутов безопасности (меток безопасности), установленных оператором, связанных с информацией в процессе ее хранения и обработки.
+Атрибуты безопасности (метки безопасности) представляют собой свойства (характеристики) объектов и (или) субъектов доступа, которые используются для контроля доступа субъектов к объектам доступа и управления информационными потоками.
+'''Требования к усилению УПД.12:'''
+) в информационной системе обеспечивается динамическое изменение атрибутов безопасности в соответствии с организационно-распорядительными документами по защите информации оператора в зависимости от процесса обработки информации (формирование, объединение, разделение информационных ресурсов);
+*2) в информационной системе допускается изменение атрибутов безопасности только авторизованными пользователям или процессами;
+*3) в информационной системе обеспечивается автоматизированный контроль связи атрибутов безопасности с информацией;
+*4) в информационной системе обеспечивается возможность отображения пользователям в удобочитаемом виде атрибутов безопасности (меток безопасности) для каждого из объектов доступа (отображение атрибутов безопасности на экран монитора и (или) при выводе информации на печать на принтере).
+'''Содержание базовой меры УПД.12:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.12
+Усиление УПД.12
+===УПД.13 РЕАЛИЗАЦИЯ ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА ЧЕРЕЗ ВНЕШНИЕ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫЕ СЕТИ===
+'''Требования к реализации УПД.13:'''
+Оператором должна обеспечиваться
+защита информации при доступе пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы через информационно-телекоммуникационные сети, в том числе сети связи общего пользования, с использованием стационарных и (или) мобильных технических средств (защита удаленного доступа).
+Защита удаленного доступа должна обеспечиваться при всех видах доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа) и включает: установление (в том числе документальное) видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;
+*ограничение на использование удаленного доступа в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление удаленного доступа для каждого разрешенного вида удаленного доступа в соответствии с УПД.2; 36
+предоставление удаленного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
+*мониторинг и контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа информационной системы;
+*контроль удаленного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой.
+Порядок и правила применения удаленного доступа регламентируются в организационно-распорядительных документах по защите информации оператора.
+'''Требования к усилению УПД.13:'''
+) в информационной системе для мониторинга и контроля удаленного доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства);
+*2) в информационной системе используется ограниченное (минимально необходимое) количество точек подключения к информационной системе при организации удаленного доступа к объектам доступа информационной системы;
+*3) в информационной системе исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы и ее системы защиты информации;
+*4) в информационной системе при удаленном доступе обеспечивается применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации;
+*5) в информационной системе обеспечивается мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с информационной системой;
+*6) в информационной системе должен обеспечиваться запрет удаленного доступа с использованием сетевых технологий и протоколов, определенных оператором по результатам анализа защищенности в соответствии с АНЗ.1 как
+небезопасных.
+'''Содержание базовой меры УПД.13:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.13
++ + + Усиление УПД.13
+, 3 2, 3, 5 1, 2, 3, 5 37
+===УПД.14 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ТЕХНОЛОГИЙ БЕСПРОВОДНОГО ДОСТУПА===
+'''Требования к реализации УПД.14:'''
+Оператором должны обеспечиваться
+регламентация и контроль использования в информационной системе технологий беспроводного доступа пользователей к объектам доступа (стандарты коротковолновой радиосвязи, спутниковой и пакетной радиосвязи), направленные на защиту информации в информационной системе.
+Регламентация и контроль использования технологий беспроводного доступа должны включать: ограничение на использование технологий беспроводного доступа (беспроводной передачи данных, беспроводного подключения оборудования к сети, беспроводного подключения устройств к средству вычислительной техники) в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление беспроводного доступа в соответствии с УПД.2;
+*
+предоставление технологий беспроводного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
+*мониторинг и контроль применения технологий беспроводного доступа на предмет выявления несанкционированного использования технологий беспроводного доступа к объектам доступа информационной системы;
+*контроль беспроводного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой.
+Порядок и правила применения технологий беспроводного доступа регламентируются в организационно-распорядительных документах по защите информации оператора.
+'''Требования к усилению УПД.14:'''
+) в информационной системе обеспечивается аутентификация подключаемых с использованием технологий беспроводного доступа устройств в соответствии с ИАФ.2;
+*
+) в информационной системе обеспечивается мониторинг точек беспроводного подключения устройств к информационной системе на предмет выявления несанкционированного беспроводного подключения устройств;
+*3) в информационной системе исключается возможность изменения пользователем точек беспроводного доступа информационной системы;
+*4) оператором одолжен быть предусмотрен запрет беспроводного доступа к информационной системе из-за пределов контролируемой зоны;
+*5) в информационной системе должен быть запрещен беспроводный доступ от имени привилегированных учетных записей (администраторов) для 38  администрирования информационной системы и ее системы защиты информации;
+*6) в информационной системе исключается возможность изменения пользователем устройств и настроек беспроводного доступа.
+'''Содержание базовой меры УПД.14:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.14 + + + +
+Усиление УПД.14
+1, 3 1, 3, 4, 5
+===УПД.15 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ===
+'''Требования к реализации УПД.15:'''
+Оператором должны обеспечиваться
+регламентация и контроль использования в информационной системе мобильных технических средств, направленные на защиту информации в информационной системе.
+В качестве мобильных технических средств рассматриваются съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства).
+Регламентация и контроль использования мобильных технических средств должны включать: установление (в том числе документальное) видов доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа), разрешенных для доступа к объектам доступа информационной системы с использованием мобильных технических средств, входящих в состав информационной системы;
+*использование в составе информационной системы для доступа к объектам доступа мобильных технических средств (служебных мобильных технических средств), в которых реализованы меры защиты информации в соответствии с ЗИС.30;
+*
+ограничение на использование мобильных технических средств в соответствии с задачами (функциями) информационной системы, для решения которых использование таких средств необходимо, и предоставление доступа с использованием мобильных технических средств в соответствии с УПД.2;
+*
+мониторинг и контроль применения мобильных технических средств на предмет выявления несанкционированного использования мобильных 39  технических средств для доступа к объектам доступа информационной системы;
+*запрет возможности запуска без команды пользователя в информационной системе программного обеспечения (программного кода), используемого для взаимодействия с мобильным техническим средством.
+Порядок и правила применения мобильных технических средств, включая процедуры выдачи и возврата мобильных технических средств, а также их передачи на техническое обслуживание (процедура должна обеспечивать удаление или недоступность информации), регламентируются в организационно-распорядительных документах по защите информации оператора.
+'''Требования к усилению УПД.15:'''
+) оператором обеспечивается запрет использования в информационной системе, не входящих в ее состав (находящихся в личном использовании) съемных машинных носителей информации;
+*2) оператором обеспечивается запрет использования в информационной системе съемных машинных носителей информации, для которых не определен владелец (пользователь, организация, ответственные за принятие мер защиты информации);
+*3) оператором обеспечивается запрет использования в информационной системе мобильных технических средств, в которых не реализованы меры защиты информации;
+*4) оператором обеспечивается очистка машинного носителя информации мобильного технического средства, переустановка программного обеспечения и выполнение иных мер по защите информации мобильных технических средств, после их использования за пределами контролируемой зоны;
+*5) оператором обеспечивается предоставление доступа с использованием мобильных технических средств к объектам доступа информационной системы только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
+*6) в информационной системе обеспечивается запрет использования мобильных технических средств, на которые в информационной системе может быть осуществлена запись информации (перезаписываемых съемных носителей информации).
+'''Содержание базовой меры УПД.15:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.15 + + + +
+Усиление УПД.15
+, 2 1, 2, 3 40
+===УПД.16 УПРАВЛЕНИЕ ВЗАИМОДЕЙСТВИЕМ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ СТОРОННИХ ОРГАНИЗАЦИЙ (ВНЕШНИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ)===
+'''Требования к реализации УПД.16:'''
+Оператором должно быть
+обеспечено управление взаимодействием с внешними информационными системами, включающими информационные системы и вычислительные ресурсы (мощности) уполномоченных лиц, информационные системы, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения), а также с иными информационными системами, информационное взаимодействие с которыми необходимо для функционирования информационной системы.
+Управление взаимодействием с внешними информационными системами должно включать: предоставление доступа к информационной системе только авторизованным (уполномоченным) пользователям в соответствии с УПД.2;
+*
+определение типов прикладного программного обеспечения информационной системы, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних информационных систем;
+*определение системных учетных записей, используемых в рамках данного взаимодействия;
+*определение порядка предоставления доступа к информационной системе авторизованными (уполномоченным) пользователями из внешних информационных систем;
+*определение порядка обработки, хранения и передачи информации с использованием внешних информационных систем.
+При информационном взаимодействии информационной системы с внешними информационными системами должны быть учтены классы защищенности внешних информационных систем.
+Управление взаимодействием с внешними информационными системами в целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977.
+'''Требования к усилению УПД.16:'''
+) оператор предоставляет доступ к информационной системе авторизованным (уполномоченным) пользователям внешних информационных систем или разрешает обработку, хранение и передачу информации с использованием внешней информационной системы при выполнении следующих условий:
+*41  а) при наличии подтверждения выполнения во внешней информационной системе предъявленных к ней требований о защите информации (наличие аттестата соответствия требованиям по безопасности информации);
+*б) при наличии договора (соглашения) об информационном взаимодействии с оператором (обладателем, владельцем) внешней информационной системы.
+'''Содержание базовой меры УПД.16:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.16 + + + +
+Усиление УПД.16
+а 1а 1а, 1б 1а, 1б
+===УПД.17 ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ===
+'''Требования к реализации УПД.17:'''
+В информационной системе должно
+обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники информационной системы на этапе его загрузки.
+Доверенная загрузка должна обеспечивать: блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;
+*контроль доступа пользователей к процессу загрузки операционной системы;
+*контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.
+В информационной системе применяется доверенная загрузка уровня базовой системы ввода-вывода, уровня платы расширения и уровня загрузочной записи.
+'''Требования к усилению УПД.17:'''
+) в информационной системе должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения;
+*2) в информационной системе должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения, реализованные на основе программно-аппаратного модуля.
+'''Содержание базовой меры УПД.17:'''
+Мера защиты информации Класс защищенности информационной системы 4 3 2 1 УПД.17
++ + Усиление УПД.17
+==3.3 ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ (ОПС) ==
-УПД.1 УПРАВЛЕНИЕ (ЗАВЕДЕНИЕ, АКТИВАЦИЯ, БЛОКИРОВАНИЕ
+ОПС.1 УПРАВЛЕНИЕ ЗАПУСКОМ (ОБРАЩЕНИЯМИ)
-И УНИЧТОЖЕНИЕ) УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ, В ТОМ
+КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ
-ЧИСЛЕ ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ
+ОПРЕДЕЛЕНИЕ ЗАПУСКАЕМЫХ КОМПОНЕНТОВ, НАСТРОЙКА
+ПАРАМЕТРОВ ЗАПУСКА КОМПОНЕНТОВ, КОНТРОЛЬ ЗА ЗАПУСКОМ
-Требования к реализации УПД.1: Оператором должны быть
+КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
-установлены и реализованы следующие функции управления учетными
-записями пользователей, в том числе внешних пользователей:
-определение типа учетной записи (внутреннего пользователя, внешнего
-пользователя; системная, приложения; гостевая (анонимная), временная и (или)
-иные типы записей);
-объединение учетных записей в группы (при необходимости);
-верификацию пользователя (проверка личности пользователя, его
-должностных (функциональных) обязанностей) при заведении учетной записи
-пользователя;
-заведение, активация, блокирование и уничтожение учетных записей
-пользователей;
-пересмотр и, при необходимости, корректировка учетных записей
-пользователей с периодичностью, определяемой оператором;
-порядок заведения и контроля использования гостевых (анонимных) и
-временных учетных записей пользователей, а также привилегированных
-учетных записей администраторов;
-оповещение администратора, осуществляющего управление учетными
-записями пользователей, об изменении сведений о пользователях, их ролях,
-обязанностях, полномочиях, ограничениях;
-уничтожение временных учетных записей пользователей,
-предоставленных для однократного (ограниченного по времени) выполнения
-задач в информационной системе;
-предоставление пользователям прав доступа к объектам доступа
-информационной системы, основываясь на задачах, решаемых пользователями
-в информационной системе и взаимодействующими с ней информационными
-системами.
-Временная учетная запись может быть заведена для пользователя на
-ограниченный срок для выполнения задач, требующих расширенных
-полномочий, или для проведения настройки, тестирования информационной
-системы, для организации гостевого доступа (посетителям, сотрудникам
-сторонних организаций, стажерам и иным пользователям с временным
-доступом к информационной системе).
-Требования к усилению УПД.1:
-) оператором должны использоваться автоматизированные средства
-поддержки управления учетными записями пользователей; 23
-) в информационной системе должно осуществляться автоматическое
-блокирование временных учетных записей пользователей по окончании
-установленного периода времени для их использования;
-) в информационной системе должно осуществляться автоматическое
-блокирование неактивных (неиспользуемых) учетных записей пользователей
-после периода времени неиспользования:
-а) более 90 дней;
-б) более 45 дней;
-) в информационной системе должно осуществляться автоматическое
-блокирование учетных записей пользователей:
-а) при превышении установленного оператором числа неуспешных
-попыток аутентификации пользователя;
-б) при выявлении по результатам мониторинга (просмотра, анализа)
-журналов регистрации событий безопасности действий пользователей, которые
-отнесены оператором к событиям нарушения безопасности информации;
-) в информационной системе должен осуществляться автоматический
-контроль заведения, активации, блокирования и уничтожения учетных записей
-пользователей и оповещение администраторов о результатах автоматического
-контроля.
-Содержание базовой меры УПД.1:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.1 + + + +
-Усиление
-УПД.1
-, 2 1, 2, 3а 1, 2, 3б
-УПД.2 РЕАЛИЗАЦИЯ НЕОБХОДИМЫХ МЕТОДОВ УПРАВЛЕНИЯ
-ДОСТУПОМ (ДИСКРЕЦИОННЫЙ, МАНДАТНЫЙ, РОЛЕВОЙ ИЛИ ИНОЙ
-МЕТОД), ТИПОВ (ЧТЕНИЕ, ЗАПИСЬ, ВЫПОЛНЕНИЕ ИЛИ ИНОЙ ТИП) И
-ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА
-Требования к реализации УПД.2: В информационной системе для
-управления доступом субъектов доступа к объектам доступа должны быть
-реализованы установленные оператором методы управления доступом,
-назначены типы доступа субъектов к объектам доступа и реализованы правила
-разграничения доступа субъектов доступа к объектам доступа.
-Методы управления доступом реализуются в зависимости от
-особенностей функционирования информационной системы, с учетом угроз
-безопасности информации и должны включать один или комбинацию
-следующих методов: 24
-дискреционный метод управления доступом, предусматривающий
-управление доступом субъектов доступа к объектам доступа на основе
-идентификационной информации субъекта и списка объекта доступа,
-содержащего набор субъектов доступа (групп субъектов) и ассоциированных с
-ними типов доступа;
-ролевой метод управления доступом, предусматривающий управление
-доступом субъектов доступа к объектам доступа на основе ролей субъектов
-доступа (совокупность действий и обязанностей, связанных с определенным
-видом деятельности);
-мандатный метод управления доступом, предусматривающий управление
-доступом субъектов доступа к объектам доступа на основе сопоставления
-классификационных меток каждого субъекта доступа и каждого объекта
-доступа, отражающих классификационные уровни субъектов доступа и
-объектов доступа, являющиеся комбинациями иерархических и
-неиерархических категорий.
-Типы доступа должны включать операции по чтению, записи, удалению,
-выполнению и иные операции, разрешенные к выполнению пользователем
-(группе пользователей) или запускаемому от его имени процессу при доступе к
-объектам доступа.
-Правила разграничения доступа реализуются на основе установленных и
-задокументированных оператором списков доступа или матриц доступа и
-должны обеспечивать управление доступом пользователей (групп
-пользователей) и запускаемых от их имени процессов при входе в систему,
-доступе к техническим средствам, устройствам, объектам файловой системы,
-запускаемым и исполняемым модулям, объектам систем управления базами
-данных, объектам, создаваемым прикладным и специальным программным
-обеспечением, параметрам настройки средств защиты информации,
-информации о конфигурации системы защиты информации и иной информации
-о функционировании системы защиты информации, а также иным объектам
-доступа.
-Требования к усилению УПД.2:
-) в информационной системе правила разграничения доступа должны
-обеспечивать управление доступом субъектов при входе в информационную
-систему;
-) в информационной системе правила разграничения доступа должны
-обеспечивать управление доступом субъектов к техническим средствам,
-устройствам, внешним устройствам;
-) в информационной системе правила разграничения доступа должны
-обеспечивать управление доступом субъектов к объектам, создаваемым
-общесистемным (общим) программным обеспечением;
-) в информационной системе правила разграничения доступа должны
-обеспечивать управление доступом субъектов к объектам, создаваемым
-прикладным и специальным программным обеспечением.
-Содержание базовой меры УПД.2:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.2 + + + +
-Усиление
-УПД.2
-, 2, 3 1, 2, 3 1, 2, 3, 4
-УПД.3 УПРАВЛЕНИЕ (ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ,
-КОНТРОЛЬ СОЕДИНЕНИЙ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА И ИНЫЕ
-СПОСОБЫ УПРАВЛЕНИЯ) ИНФОРМАЦИОННЫМИ ПОТОКАМИ МЕЖДУ
-УСТРОЙСТВАМИ, СЕГМЕНТАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ, А
-ТАКЖЕ МЕЖДУ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
-Требования к реализации УПД.3: В информационной системе должно
-осуществляться управление информационными потоками при передаче
-информации между устройствами, сегментами в рамках информационной
-системы, включающее:
-фильтрацию информационных потоков в соответствии с правилами
-управления потоками, установленными оператором;
-разрешение передачи информации в информационной системе только по
-маршруту, установленному оператором;
-изменение (перенаправление) маршрута передачи информации в случаях,
-установленных оператором;
-запись во временное хранилище информации для анализа и принятия
-решения о возможности ее дальнейшей передачи в случаях, установленных
-оператором.
-Управление информационными потоками должно обеспечивать
-разрешенный (установленный оператором) маршрут прохождения информации
-между пользователями, устройствами, сегментами в рамках информационной
-системы, а также между информационными системами или при
-взаимодействии с сетью Интернет (или другими информационно-
-телекоммуникационными сетями международного информационного обмена)
-на основе правил управления информационными потоками, включающих
-контроль конфигурации информационной системы, источника и получателя
-передаваемой информации, структуры передаваемой информации,
-характеристик информационных потоков и (или) канала связи (без анализа
-содержания информации). Управление информационными потоками должно
-блокировать передачу защищаемой информации через сеть Интернет (или
-другие информационно-телекоммуникационные сети международного
-информационного обмена) по незащищенным линиям связи, сетевые запросы и
-трафик, несанкционированно исходящие из информационной системы и (или)
-входящие в информационную систему. 26
-Требования к усилению УПД.3:
-) в информационной системе должно обеспечиваться управление
-информационными потоками на основе атрибутов (меток) безопасности,
-связанных с передаваемой информацией, источниками и получателями
-информации;
-) в информационной системе должно обеспечиваться динамическое
-управление информационными потоками, запрещающее и (или) разрешающее
-передачу информации на основе анализа изменения текущего состояния
-информационной системы или условий ее функционирования;
-) в информационной системе должен исключаться обход правил
-управления информационными потоками за счет преобразования передаваемой
-информации;
-) в информационной системе должен исключаться обход правил
-управления информационными потоками за счет встраивания одних данных в
-другие данные информационного потока;
-) в информационной системе должен обеспечиваться контроль
-соединений между техническими средствами (устройствами), используемыми
-для организации информационных потоков;
-) в информационной системе при передаче информации между
-сегментами информационной системы и (или) информационными системами
-разных классов защищенности должна обеспечиваться однонаправленная
-передача информации с использованием аппаратных средств;
-) в информационной системе должно обеспечиваться управление
-информационными потоками на основе структуры передаваемых данных
-(текст, таблицы, видео, аудиоинформация);
-) в информационной системе должно обеспечиваться управление
-информационными потоками на основе используемых сетевых протоколов;
-) в информационной системе должно обеспечиваться управление
-информационными потоками на основе типов (расширений) файлов и (или)
-имен файлов;
-) в информационной системе должна обеспечиваться возможность
-запрета, разрешения и изменения маршрута передачи информации только
-администраторами;
-) в информационной системе должно обеспечиваться разделение
-информационных потоков, содержащих различные виды (категории)
-информации, а также отделение информации управления от пользовательской
-информации;
-) в информационной системе должна обеспечиваться возможность
-автоматического блокирования передачи информации при выявлении в
-передаваемой информации вредоносных компьютерных программ;
-) в информационной системе должно осуществляться управление
-информационными потоками при передаче информации между
-информационными системами; 27
-) в информационной системе должна обеспечиваться возможность
-фильтрации информационных потоков на прикладном уровне базовой
-эталонной модели взаимосвязи открытых систем.
-Содержание базовой меры УПД.3:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.3
- + +
-Усиление
-УПД.3
-УПД.4 РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ (РОЛЕЙ) ПОЛЬЗОВАТЕЛЕЙ,
-АДМИНИСТРАТОРОВ И ЛИЦ, ОБЕСПЕЧИВАЮЩИХ
-ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ
-Требования к реализации УПД.4: Оператором должно быть обеспечено
-разделение полномочий (ролей) пользователей, администраторов и лиц,
-обеспечивающих функционирование информационной системы, в соответствии
-с их должностными обязанностями (функциями), документирование в
-организационно-распорядительных документах по защите информации
-полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих
-функционирование информационной системы, и санкционирование доступа к
-объектам доступа в соответствии с разделением полномочий (ролей).
-Доступ к объектам доступа с учетом разделения полномочий (ролей)
-обеспечивается в соответствии с УПД.2.
-Требования к усилению УПД.4:
-) оператором должно быть обеспечено выполнение каждой роли по
-обработке информации, администрированию информационной системы, ее
-системы защиты информации, контролю (мониторингу) за обеспечением
-уровня защищенности информации, обеспечению функционирования
-информационной системы отдельным должностным лицом;
-) оператором должно быть обеспечено исключение наделения одного
-должностного лица полномочиями (ролью) по обработке информации и
-полномочиями (ролью) по администрированию информационной системы и
-(или) ее системы защиты информации, контролю (мониторингу) за
-обеспечением уровня защищенности информации, обеспечению
-функционирования информационной системы;
-) оператором должно быть обеспечено исключение наделения одного
-должностного лица полномочиями (ролью) по контролю (мониторингу) за
-обеспечением уровня защищенности информации и полномочиями (ролью) по 28
-администрированию информационной системы и (или) ее системы защиты
-информации и обеспечению функционирования информационной системы;
-) оператором должно быть обеспечено исключение наделения одного
-должностного лица полномочиями (ролью) по администрированию системы
-защиты информации информационной системы и полномочиями (ролью) по
-обеспечению функционирования информационной системы;
-) оператором должен быть определен администратор, имеющий права по
-передаче полномочий по администрированию информационной системы и
-системы защиты информации другим лицам и осуществляющий контроль за
-использованием переданных полномочий (супервизор).
-Содержание базовой меры УПД.4:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.4
- + + +
-Усиление
-УПД.4
-УПД.5 НАЗНАЧЕНИЕ МИНИМАЛЬНО НЕОБХОДИМЫХ ПРАВ И
-ПРИВИЛЕГИЙ ПОЛЬЗОВАТЕЛЯМ, АДМИНИСТРАТОРАМ И ЛИЦАМ,
-ОБЕСПЕЧИВАЮЩИМ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ
-СИСТЕМЫ
-Требования к реализации УПД.5: Оператором должно быть обеспечено
-назначение прав и привилегий пользователям и запускаемым от их имени
-процессам, администраторам и лицам, обеспечивающим функционирование
-информационной системы, минимально необходимых для выполнения ими
-своих должностных обязанностей (функций), и санкционирование доступа к
-объектам доступа в соответствии с минимально необходимыми правами и
-привилегиями.
-Оператором должны быть однозначно определены должностные
-обязанности (функции) и объекты доступа, в отношении которых установлен
-наименьший уровень привилегий. Доступ к объектам доступа с учетом
-минимально необходимых прав и привилегий обеспечивается в соответствии с
-УПД.2.
-Требования к усилению УПД.5:
-) оператором должно быть обеспечено предоставление прав и
-привилегий по доступу к функциям безопасности (параметрам настройки)
-средств защиты информации исключительно администратору, наделенному
-полномочиями по администрированию системы защиты информации
-(администратору безопасности); 29
-) запрет предоставления расширенных прав и привилегий внешним
-пользователям (пользователям, не являющимся внутренними пользователями).
-Содержание базовой меры УПД.5:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.5
- + + +
-Усиление
-УПД.5
-УПД.6 ОГРАНИЧЕНИЕ НЕУСПЕШНЫХ ПОПЫТОК ВХОДА В
-ИНФОРМАЦИОННУЮ СИСТЕМУ (ДОСТУПА К ИНФОРМАЦИОННОЙ
-СИСТЕМЕ)
-Требования к реализации УПД.6: В информационной системе должно
-быть установлено ограничение количества неуспешных попыток входа в
-информационную систему (доступа к информационной системе) за период
-времени, установленный оператором, а также обеспечено блокирование
-устройства, с которого предпринимаются попытки доступа, и (или) учетной
-записи пользователя при превышении пользователем ограничения количества
-неуспешных попыток входа в информационную систему (доступа к
-информационной системе) за установленный период времени.
-Ограничение количества неуспешных попыток входа в информационную
-систему (доступа к информационной системе) должно обеспечиваться в
-соответствии с ИАФ.1.
-Требования к усилению УПД.6:
-) в информационной системе обеспечивается автоматическое
-блокирование устройства, с которого предпринимаются попытки доступа, и
-(или) учетной записи пользователя при превышении пользователем
-ограничения количества неуспешных попыток входа в информационную
-систему (доступа к информационной системе) за установленный период
-времени с возможностью разблокирования только администратором или иным
-лицом, имеющим соответствующие полномочия (роль);
-) в информационной системе обеспечивается автоматическое удаление
-информации с мобильного технического средства, входящего в состав
-информационной системы, при превышении допустимого числа неуспешных
-попыток входа в информационную систему (доступа к информационной
-системе) за установленный период времени, осуществляемых с мобильного
-устройства;
-) в информационной системе обеспечивается противодействие
-автоматизированному подбору паролей с использованием однократных кодов, 30
-требующих визуального распознавания (в том числе с использованием
-технологии CAPTCHA).
-Содержание базовой меры УПД.6:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.6 + + + +
-Усиление
-УПД.6
-УПД.7 ПРЕДУПРЕЖДЕНИЕ ПОЛЬЗОВАТЕЛЯ ПРИ ЕГО ВХОДЕ В
-ИНФОРМАЦИОННУЮ СИСТЕМУ О ТОМ, ЧТО В ИНФОРМАЦИОННОЙ
-СИСТЕМЕ РЕАЛИЗОВАНЫ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ, И О
-НЕОБХОДИМОСТИ СОБЛЮДЕНИЯ ИМ УСТАНОВЛЕННЫХ
-ОПЕРАТОРОМ ПРАВИЛ ОБРАБОТКИ ИНФОРМАЦИИ
-Требования к реализации УПД.7: В информационной системе должно
-быть обеспечено предупреждение пользователя в виде сообщения («окна») при
-его входе в информационную систему (до процесса аутентификации) о том, что
-в информационной системе реализованы меры защиты информации, а также о
-том, что при работе в информационной системе пользователем должны быть
-соблюдены установленные оператором правила и ограничения на работу с
-информацией.
-Вход в информационную систему и предоставление пользователю
-возможности работы в информационной системе осуществляются только после
-подтверждения пользователем ознакомления с предупреждением.
-Требования к усилению УПД.7:
-Не установлены.
-Содержание базовой меры УПД.7:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.7
-Усиление
-УПД.7
-УПД.8 ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЯ ПОСЛЕ УСПЕШНОГО
-ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ О ЕГО ПРЕДЫДУЩЕМ
-ВХОДЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ
-Требования к реализации УПД.8: В информационной системе должно
-быть обеспечено после успешного входа пользователя в информационную
-систему (завершения процесса аутентификации) оповещение этого
-пользователя о дате и времени предыдущего входа в информационную систему
-от имени этого пользователя.
-Требования к усилению УПД.8:
-) в информационной системе обеспечивается оповещение пользователя
-после успешного входа в информационную систему о количестве неуспешных
-попыток входа в информационную систему (доступа к информационной
-системе), зафиксированных с момента последнего успешного входа в
-информационную систему;
-) в информационной системе обеспечивается оповещение пользователя
-после успешного входа в информационную систему о количестве успешных и
-(или) неуспешных попыток входа в информационную систему (доступа к
-информационной системе), зафиксированных за период времени не менее 7
-дней;
-) в информационной системе обеспечивается оповещение пользователя
-после успешного входа в информационную систему об изменения сведений,
-относящихся к учетной записи пользователя (в том числе изменении прав
-доступа), произведенных за период времени не менее, чем с момента
-предыдущего успешного входа в информационную систему.
-Содержание базовой меры УПД.8:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.8
-Усиление
-УПД.8
-УПД.9 ОГРАНИЧЕНИЕ ЧИСЛА ПАРАЛЛЕЛЬНЫХ СЕАНСОВ
-ДОСТУПА ДЛЯ КАЖДОЙ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ
-ИНФОРМАЦИОННОЙ СИСТЕМЫ
-Требования к реализации УПД.9: В информационной системе должно
-обеспечиваться ограничение числа параллельных сеансов доступа для каждой
-учетной записи пользователя информационной системы. 32
-В информационной системе должна быть предусмотрена возможность
-задавать ограничения на число параллельных (одновременных) сеансов
-(сессий), основываясь на идентификаторах пользователей и (или)
-принадлежности к определенной роли.
-Значение числа параллельных сеансов доступа может быть задано для
-информационной системы в целом, для отдельных сегментов информационной
-системы, для групп пользователей, отдельных пользователей или их
-комбинаций.
-Требования к усилению УПД.9:
-) в информационной системе для привилегированных учетных записей
-(администраторов) количество параллельных (одновременных) сеансов
-(сессий) от их имени с разных устройств (средств вычислительной техники) не
-должно превышать следующих значений:
-а) не более 2;
-б) не более 1;
-) в информационной системе в случае попытки входа под учетной
-записью пользователя или администратора, для которых достигнуто
-максимальное значение допустимых параллельных сеансов, при успешной
-аутентификации пользователя или администратора должно выдаваться
-сообщение о превышении числа параллельных сеансов доступа, месте (местах)
-их предыдущего входа (предыдущих входов) с активными сессиями и
-предложением отключения этой сессии (этих сессий);
-) в информационной системе должны быть предусмотрены программно-
-технические средства, позволяющие контролировать и отображать
-администратору число активных параллельных (одновременных) сеансов
-(сессий) для каждой учетной записи пользователей;
-) в информационной системе должны быть предусмотрены программно-
-технические средства, позволяющие оповещать администратора о попытках
-превышения числа установленных допустимых активных параллельных
-(одновременных) сеансов (сессий) для каждой учетной записи пользователя.
-Содержание базовой меры УПД.9:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.9
- +
-Усиление
-УПД.9
-а, 3
-УПД.10 БЛОКИРОВАНИЕ СЕАНСА ДОСТУПА В
-ИНФОРМАЦИОННУЮ СИСТЕМУ ПОСЛЕ УСТАНОВЛЕННОГО ВРЕМЕНИ
-БЕЗДЕЙСТВИЯ (НЕАКТИВНОСТИ) ПОЛЬЗОВАТЕЛЯ ИЛИ ПО ЕГО
-ЗАПРОСУ
-Требования к реализации УПД.10: В информационной системе должно
-обеспечиваться блокирование сеанса доступа пользователя после
-установленного оператором времени его бездействия (неактивности) в
-информационной системе или по запросу пользователя.
-Блокирование сеанса доступа пользователя в информационную систему
-обеспечивает временное приостановление работы пользователя со средством
-вычислительной техники, с которого осуществляется доступ к
-информационной системе (без выхода из информационной системы).
-Для заблокированного сеанса должно осуществляться блокирование
-любых действий по доступу к информации и устройствам отображения, кроме
-необходимых для разблокирования сеанса.
-Блокирование сеанса доступа пользователя в информационную систему
-должно сохраняться до прохождения им повторной идентификации и
-аутентификации в соответствии с ИАФ.1.
-Требования к усилению УПД.10:
-) в информационной системе обеспечивается блокирование сеанса
-доступа пользователя после времени бездействия (неактивности) пользователя:
-а) до 15 минут;
-б) до 5 минут;
-) в информационной системе на устройстве отображения (мониторе)
-после блокировки сеанса не должна отображаться информация сеанса
-пользователя (в том числе использование «хранителя экрана», гашение экрана
-или иные способы);
-) в информационной системе обеспечивается завершение сеанса
-пользователя (выхода из системы) после превышения установленного
-оператором времени бездействия (неактивности) пользователя.
-Содержание базовой меры УПД.10:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.10
- + + +
-Усиление
-УПД.10
-а, 2 1б, 2
-УПД.11 РАЗРЕШЕНИЕ (ЗАПРЕТ) ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ,
-РАЗРЕШЕННЫХ ДО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ
-Требования к реализации УПД.11: Оператором устанавливается
-перечень действий пользователей, разрешенных до прохождения ими процедур
-идентификации и аутентификации, и запрет действий пользователей, не
-включенных в перечень разрешенных действий, до прохождения
-пользователями процедур идентификации и аутентификации.
-Разрешение действий пользователей до прохождения ими процедур
-идентификации и аутентификации осуществляется, в том числе, при
-предоставлении пользователям доступа к общедоступной информации (веб-
-сайтам, порталам, иным общедоступным ресурсам). Также администратору
-разрешаются действия в обход установленных процедур идентификации и
-аутентификации, необходимые только для восстановления функционирования
-информационной системы в случае сбоев в работе или выходе из строя
-отдельных технических средств (устройств).
-Требования к усилению УПД.11:
-Не установлены.
-Содержание базовой меры УПД.11:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.11
- + +
-Усиление
-УПД.11
-УПД.12 ПОДДЕРЖКА И СОХРАНЕНИЕ АТРИБУТОВ
-БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С
-ИНФОРМАЦИЕЙ В ПРОЦЕССЕ ЕЕ ХРАНЕНИЯ И ОБРАБОТКИ
-Требования к реализации УПД.12: В информационной системе должно
-обеспечиваться поддержка (обновление, назначение, изменение) и сохранение
-атрибутов безопасности (меток безопасности), установленных оператором,
-связанных с информацией в процессе ее хранения и обработки.
-Атрибуты безопасности (метки безопасности) представляют собой
-свойства (характеристики) объектов и (или) субъектов доступа, которые
-используются для контроля доступа субъектов к объектам доступа и
-управления информационными потоками.
-Требования к усилению УПД.12:
-) в информационной системе обеспечивается динамическое изменение
-атрибутов безопасности в соответствии с организационно-распорядительными
-документами по защите информации оператора в зависимости от процесса
-обработки информации (формирование, объединение, разделение
-информационных ресурсов);
-) в информационной системе допускается изменение атрибутов
-безопасности только авторизованными пользователям или процессами;
-) в информационной системе обеспечивается автоматизированный
-контроль связи атрибутов безопасности с информацией;
-) в информационной системе обеспечивается возможность отображения
-пользователям в удобочитаемом виде атрибутов безопасности (меток
-безопасности) для каждого из объектов доступа (отображение атрибутов
-безопасности на экран монитора и (или) при выводе информации на печать на
-принтере).
-Содержание базовой меры УПД.12:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-УПД.12
-Усиление
-УПД.12
-УПД.13 РЕАЛИЗАЦИЯ ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА
-СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА ЧЕРЕЗ ВНЕШНИЕ
-ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫЕ СЕТИ
-Требования к реализации УПД.13: Оператором должна обеспечиваться
-защита информации при доступе пользователей (процессов запускаемых от
-имени пользователей) к объектам доступа информационной системы через
-информационно-телекоммуникационные сети, в том числе сети связи общего
-пользования, с использованием стационарных и (или) мобильных технических
-средств (защита удаленного доступа).
-Защита удаленного доступа должна обеспечиваться при всех видах
-доступа (беспроводной, проводной (коммутируемый), широкополосный и иные
-виды доступа) и включает:
-установление (в том числе документальное) видов доступа, разрешенных
-для удаленного доступа к объектам доступа информационной системы;
-ограничение на использование удаленного доступа в соответствии с
-задачами (функциями) информационной системы, для решения которых такой
-доступ необходим, и предоставление удаленного доступа для каждого
-разрешенного вида удаленного доступа в соответствии с УПД.2; 36
-предоставление удаленного доступа только тем пользователям, которым
-он необходим для выполнения установленных должностных обязанностей
-(функций);
-мониторинг и контроль удаленного доступа на предмет выявления
-несанкционированного удаленного доступа к объектам доступа
-информационной системы;
-контроль удаленного доступа пользователей (процессов запускаемых от
-имени пользователей) к объектам доступа информационной системы до начала
-информационного взаимодействия с информационной системой.
-Порядок и правила применения удаленного доступа регламентируются в
-организационно-распорядительных документах по защите информации
-оператора.
-Требования к усилению УПД.13:
-) в информационной системе для мониторинга и контроля удаленного
-доступа должны применяться автоматизированные средства (дополнительные
-программные или программно-технические средства);
-) в информационной системе используется ограниченное (минимально
-необходимое) количество точек подключения к информационной системе при
-организации удаленного доступа к объектам доступа информационной
-системы;
-) в информационной системе исключается удаленный доступ от имени
-привилегированных учетных записей (администраторов) для
-администрирования информационной системы и ее системы защиты
-информации;
-) в информационной системе при удаленном доступе обеспечивается
-применение в соответствии с законодательством Российской Федерации
-криптографических методов защиты информации;
-) в информационной системе обеспечивается мониторинг и контроль
-удаленного доступа на предмет выявления установления
-несанкционированного соединения технических средств (устройств) с
-информационной системой;
-) в информационной системе должен обеспечиваться запрет удаленного
-доступа с использованием сетевых технологий и протоколов, определенных
-оператором по результатам анализа защищенности в соответствии с АНЗ.1 как
-небезопасных.
-Содержание базовой меры УПД.13:
+Требования к реализации ОПС.1: Оператором должны быть
+реализованы следующие функции по управлению запуском (обращениями)
-Мера защиты
+компонентов программного обеспечения:
-информации
+определение перечня (списка) компонентов программного обеспечения
-Класс защищенности информационной системы
+(файлов, объектов баз данных, хранимых процедур и иных компонентов),
-3 2 1
+запускаемых автоматически при загрузке операционной системы средства
-УПД.13
+вычислительной техники;
- + + +
+разрешение запуска компонентов программного обеспечения,
-Усиление
+включенных в перечень (список) программного обеспечения, запускаемого
-УПД.13
+автоматически при загрузке операционной системы средства вычислительной
-, 3 2, 3, 5 1, 2, 3, 5 37
+техники;
+ограничение запуска компонентов программного обеспечения от имени
+администраторов безопасности (например, разрешение такого запуска только
+для программного обеспечения средств защиты информации: сенсоры систем
+обнаружения вторжений, агенты систем мониторинга событий
+информационной безопасности, средства антивирусной защиты);
+настройка параметров запуска компонентов программного обеспечения
+от имени учетной записи администратора безопасности таким образом, чтобы
+текущий пользователь средства вычислительной техники не мог получить через
+данные компоненты доступ к объектам доступа, на доступ к которым у него нет
+прав в соответствии с УПД.2;
+контроль за запуском компонентов программного обеспечения,
+обеспечивающий выявление компонентов программного обеспечения, не
+включенных в перечень (список) компонентов, запускаемых автоматически при
+загрузке операционной системы средства вычислительной техники.
+Требования к усилению ОПС.1:
+) в информационной системе обеспечивается разрешение запуска только
+тех программных компонентов, которые явно разрешены администратором
+безопасности;
+) в информационной системе обеспечивается использование средств
+автоматизированного контроля перечня (списка) компонентов программного
+обеспечения, запускаемого автоматически при загрузке операционной системы
+средства вычислительной техники;
+) в информационной системе обеспечивается использование
+автоматизированных механизмов управления запуском (обращениями)
+компонентов программного обеспечения; 44
+) в информационной системе обеспечивается управление удаленным
+запуском компонентов программного обеспечения (например, запрет запуска
+компонентов программного обеспечения на одном средстве вычислительной
+техники командой с другого средства вычислительной техники);
+) в информационной системе обеспечивается управление временем
+запуска и завершения работы компонентов программного обеспечения
+(например, ограничение запуска только в течение рабочего дня);
+) в информационной системе обеспечивается контроль (состояния)
+целостности запускаемых компонентов программного обеспечения (файлов (в
+том числе конфигурационных), объектов баз данных, подключаемых библиотек
+и др.) в соответствии с ОЦЛ.1;
+) в информационной системе обеспечивается контроль обновления
+запускаемых компонентов программного обеспечения;
+) в информационной системе обеспечивается регистрация событий,
+связанных с контролем состояния и обновлением запускаемых компонентов
+программного обеспечения;
+) в информационной системе обеспечивается запрет (блокирование)
+запуска определенных оператором компонентов программного обеспечения, не
+прошедших аутентификацию в соответствии с ИАФ.7.
-УПД.14 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В
+Содержание базовой меры ОПС.1:
-ИНФОРМАЦИОННОЙ СИСТЕМЕ ТЕХНОЛОГИЙ БЕСПРОВОДНОГО
-ДОСТУПА
-Требования к реализации УПД.14: Оператором должны обеспечиваться
-регламентация и контроль использования в информационной системе
-технологий беспроводного доступа пользователей к объектам доступа
-(стандарты коротковолновой радиосвязи, спутниковой и пакетной радиосвязи),
-направленные на защиту информации в информационной системе.
-Регламентация и контроль использования технологий беспроводного
-доступа должны включать:
-ограничение на использование технологий беспроводного доступа
-(беспроводной передачи данных, беспроводного подключения оборудования к
-сети, беспроводного подключения устройств к средству вычислительной
-техники) в соответствии с задачами (функциями) информационной системы,
-для решения которых такой доступ необходим, и предоставление
-беспроводного доступа в соответствии с УПД.2;
-предоставление технологий беспроводного доступа только тем
-пользователям, которым он необходим для выполнения установленных
-должностных обязанностей (функций);
-мониторинг и контроль применения технологий беспроводного доступа
-на предмет выявления несанкционированного использования технологий
-беспроводного доступа к объектам доступа информационной системы;
-контроль беспроводного доступа пользователей (процессов запускаемых
-от имени пользователей) к объектам доступа информационной системы до
-начала информационного взаимодействия с информационной системой.
-Порядок и правила применения технологий беспроводного доступа
-регламентируются в организационно-распорядительных документах по защите
-информации оператора.
-Требования к усилению УПД.14:
-) в информационной системе обеспечивается аутентификация
-подключаемых с использованием технологий беспроводного доступа устройств
-в соответствии с ИАФ.2;
-) в информационной системе обеспечивается мониторинг точек
-беспроводного подключения устройств к информационной системе на предмет
-выявления несанкционированного беспроводного подключения устройств;
-) в информационной системе исключается возможность изменения
-пользователем точек беспроводного доступа информационной системы;
-) оператором одолжен быть предусмотрен запрет беспроводного доступа
-к информационной системе из-за пределов контролируемой зоны;
-) в информационной системе должен быть запрещен беспроводный
-доступ от имени привилегированных учетных записей (администраторов) для 38
-администрирования информационной системы и ее системы защиты
-информации;
-) в информационной системе исключается возможность изменения
-пользователем устройств и настроек беспроводного доступа.
-Содержание базовой меры УПД.14:
 Мера защиты
@@ Строка 1596: / Строка 952: @@
 Класс защищенности информационной системы
 3 2 1
-УПД.14 + + + +
+ОПС.1
-Усиление
+ +
-УПД.14
+Усиление ОПС.1
-1, 3 1, 3, 4, 5
+, 2, 3
-УПД.15 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В
+ОПС.2 УПРАВЛЕНИЕ УСТАНОВКОЙ (ИНСТАЛЛЯЦИЕЙ)
-ИНФОРМАЦИОННОЙ СИСТЕМЕ МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ
+КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ
+ОПРЕДЕЛЕНИЕ КОМПОНЕНТОВ, ПОДЛЕЖАЩИХ УСТАНОВКЕ,
+НАСТРОЙКА ПАРАМЕТРОВ УСТАНОВКИ КОМПОНЕНТОВ, КОНТРОЛЬ
+ЗА УСТАНОВКОЙ КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
-Требования к реализации УПД.15: Оператором должны обеспечиваться
+Требования к реализации ОПС.2: Оператором должны быть
-регламентация и контроль использования в информационной системе
+реализованы следующие функции по управлению установкой (инсталляцией)
-мобильных технических средств, направленные на защиту информации в
+компонентов программного обеспечения информационной системы:
-информационной системе.
+определение компонентов программного обеспечения (состава и
-В качестве мобильных технических средств рассматриваются съемные
+конфигурации), подлежащих установке в информационной системе после
-машинные носители информации (флэш-накопители, внешние накопители на
+загрузки операционной системы;
-жестких дисках и иные устройства), портативные вычислительные устройства и
+настройка параметров установки компонентов программного
-устройства связи с возможностью обработки информации (ноутбуки, нетбуки,
+обеспечения, обеспечивающая исключение установки (если осуществимо)
-планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие
+компонентов программного обеспечения, использование которых не требуется 45
-устройства и иные устройства).
-Регламентация и контроль использования мобильных технических
-средств должны включать:
-установление (в том числе документальное) видов доступа
-(беспроводной, проводной (коммутируемый), широкополосный и иные виды
-доступа), разрешенных для доступа к объектам доступа информационной
-системы с использованием мобильных технических средств, входящих в состав
-информационной системы;
-использование в составе информационной системы для доступа к
-объектам доступа мобильных технических средств (служебных мобильных
-технических средств), в которых реализованы меры защиты информации в
-соответствии с ЗИС.30;
-ограничение на использование мобильных технических средств в
-соответствии с задачами (функциями) информационной системы, для решения
-которых использование таких средств необходимо, и предоставление доступа с
-использованием мобильных технических средств в соответствии с УПД.2;
-мониторинг и контроль применения мобильных технических средств на
-предмет выявления несанкционированного использования мобильных 39
-технических средств для доступа к объектам доступа информационной
-системы;
-запрет возможности запуска без команды пользователя в
-информационной системе программного обеспечения (программного кода),
-используемого для взаимодействия с мобильным техническим средством.
-Порядок и правила применения мобильных технических средств,
-включая процедуры выдачи и возврата мобильных технических средств, а
-также их передачи на техническое обслуживание (процедура должна
-обеспечивать удаление или недоступность информации), регламентируются в
-организационно-распорядительных документах по защите информации
-оператора.
-Требования к усилению УПД.15:
-) оператором обеспечивается запрет использования в информационной
-системе, не входящих в ее состав (находящихся в личном использовании)
-съемных машинных носителей информации;
-) оператором обеспечивается запрет использования в информационной
-системе съемных машинных носителей информации, для которых не определен
-владелец (пользователь, организация, ответственные за принятие мер защиты
-информации);
-) оператором обеспечивается запрет использования в информационной
-системе мобильных технических средств, в которых не реализованы меры
-защиты информации;
-) оператором обеспечивается очистка машинного носителя информации
-мобильного технического средства, переустановка программного обеспечения
-и выполнение иных мер по защите информации мобильных технических
-средств, после их использования за пределами контролируемой зоны;
-) оператором обеспечивается предоставление доступа с использованием
-мобильных технических средств к объектам доступа информационной системы
-только тем пользователям, которым он необходим для выполнения
-установленных должностных обязанностей (функций);
-) в информационной системе обеспечивается запрет использования
-мобильных технических средств, на которые в информационной системе может
-быть осуществлена запись информации (перезаписываемых съемных носителей
-информации).
+для реализации информационной технологии информационной системы
+(например, при запуске установщика можно выбрать или не выбрать
+определенные опции и, тем самым, разрешить или запретить установку
+соответствующих компонентов программного обеспечения);
+выбор конфигурации устанавливаемых компонентов программного
+обеспечения (в том числе конфигурации, предусматривающие включение в
+домен, или невключение в домен);
+контроль за установкой компонентов программного обеспечения (состав
+компонентов, параметры установки, конфигурация компонентов);
+определение и применение параметров настройки компонентов
+программного обеспечения, включая программные компоненты средств защиты
+информации, обеспечивающих реализацию мер защиты информации, а также
+устранение возможных уязвимостей информационной системы, приводящих к
+возникновению угроз безопасности информации.
-Содержание базовой меры УПД.15:
+Требования к усилению ОПС.2:
+) в информационной системе должно обеспечиваться использование
+средств автоматизации для применения и контроля параметров настройки
+компонентов программного обеспечения, влияющих на безопасность
+информации;
+) в информационной системе должны быть реализованы
+автоматизированные механизмы реагирования на несанкционированное
+изменение параметров настройки компонентов программного обеспечения,
+влияющих на безопасность информации, предусматривающие блокирование
+доступа к средству вычислительной техники и (или) информации,
+автоматическое восстановление параметров настройки или другие действия,
+препятствующие несанкционированному доступу к информации, который
+может быть получен вследствие несанкционированного изменения параметров
+настройки;
+) в информационной системе должно обеспечиваться использование
+средств автоматизации для инсталляции и централизованного управления
+процессами инсталляции, в том числе с применением пакетов эталонных
+дистрибутивов программного обеспечения.
+Содержание базовой меры ОПС.2:
 Мера защиты
@@ Строка 1676: / Строка 1014: @@
 Класс защищенности информационной системы
 3 2 1
-УПД.15 + + + +
+ОПС.2 + +
-Усиление
+Усиление ОПС.2
-УПД.15
-, 2 1, 2, 3 40
+ОПС.3 УСТАНОВКА (ИНСТАЛЛЯЦИЯ) ТОЛЬКО РАЗРЕШЕННОГО К
+ИСПОЛЬЗОВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И (ИЛИ) ЕГО
+КОМПОНЕНТОВ
-УПД.16 УПРАВЛЕНИЕ ВЗАИМОДЕЙСТВИЕМ С
+Требования к реализации ОПС.3: Оператором должна быть обеспечена
-ИНФОРМАЦИОННЫМИ СИСТЕМАМИ СТОРОННИХ ОРГАНИЗАЦИЙ
+установка (инсталляция) только разрешенного к использованию в
-(ВНЕШНИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ)
+информационной системе программного обеспечения и (или) его компонентов.
+Установка (инсталляция) в информационной системе программного
-Требования к реализации УПД.16: Оператором должно быть
+обеспечения (вида, типа, класса программного обеспечения) и (или) его
-обеспечено управление взаимодействием с внешними информационными
+компонентов осуществляется с учетом перечня программного обеспечения и
-системами, включающими информационные системы и вычислительные
+(или) его компонентов, разрешенных оператором к установке, и (или) перечнем
-ресурсы (мощности) уполномоченных лиц, информационные системы, с
+программного обеспечения и (или) его компонентов, запрещенных оператором
-которыми установлено информационное взаимодействие на основании
+к установке. Указанные перечни программного обеспечения и (или) его
-заключенного договора (соглашения), а также с иными информационными
+компонентов разрабатываются оператором для информационной системы в
-системами, информационное взаимодействие с которыми необходимо для
+целом или для всех ее сегментов в отдельности.
-функционирования информационной системы.
+Установка (инсталляция) в информационной системе программного
-Управление взаимодействием с внешними информационными системами
+обеспечения и (или) его компонентов должна осуществляться только от имени
-должно включать:
+администратора в соответствии с УПД.5.
-предоставление доступа к информационной системе только
+Оператором должен обеспечиваться периодический контроль
-авторизованным (уполномоченным) пользователям в соответствии с УПД.2;
+установленного (инсталлированного) в информационной системе программного
-определение типов прикладного программного обеспечения
+обеспечения на предмет соответствия его перечню программного обеспечения,
-информационной системы, к которым разрешен доступ авторизованным
+разрешенному к установке в информационной системе в соответствии с АНЗ.4,
-(уполномоченным) пользователям из внешних информационных систем;
+а также на предмет отсутствия программного обеспечения, запрещенного
-определение системных учетных записей, используемых в рамках
+оператором к установке.
-данного взаимодействия;
-определение порядка предоставления доступа к информационной системе
-авторизованными (уполномоченным) пользователями из внешних
-информационных систем;
-определение порядка обработки, хранения и передачи информации с
-использованием внешних информационных систем.
-При информационном взаимодействии информационной системы с
-внешними информационными системами должны быть учтены классы
-защищенности внешних информационных систем.
-Управление взаимодействием с внешними информационными системами
-в целях межведомственного электронного взаимодействия, исполнения
-государственных и муниципальных функций, формирования базовых
-государственных информационных ресурсов осуществляется в том числе с
-использованием единой системы идентификации и аутентификации, созданной
-в соответствии с постановлением Правительства Российской Федерации от
-ноября 2011 г. № 977.
-Требования к усилению УПД.16:
-) оператор предоставляет доступ к информационной системе
-авторизованным (уполномоченным) пользователям внешних информационных
-систем или разрешает обработку, хранение и передачу информации с
-использованием внешней информационной системы при выполнении
-следующих условий: 41
-а) при наличии подтверждения выполнения во внешней информационной
+Требования к усилению ОПС.3:
-системе предъявленных к ней требований о защите информации (наличие
+Не установлены.
-аттестата соответствия требованиям по безопасности информации);
-б) при наличии договора (соглашения) об информационном
-взаимодействии с оператором (обладателем, владельцем) внешней
-информационной системы.
-Содержание базовой меры УПД.16:
+Содержание базовой меры ОПС.3:
 Мера защиты
@@ Строка 1740: / Строка 1054: @@
 Класс защищенности информационной системы
 3 2 1
-УПД.16 + + + +
+ОПС.3 + + + +
-Усиление
+Усиление ОПС.3
-УПД.16
-а 1а 1а, 1б 1а, 1б
-УПД.17 ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ
-ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
-Требования к реализации УПД.17: В информационной системе должно
+ОПС.4 УПРАВЛЕНИЕ ВРЕМЕННЫМИ ФАЙЛАМИ, В ТОМ ЧИСЛЕ
-обеспечиваться исключение несанкционированного доступа к программным и
+ЗАПРЕТ, РАЗРЕШЕНИЕ, ПЕРЕНАПРАВЛЕНИЕ ЗАПИСИ, УДАЛЕНИЕ
-(или) техническим ресурсам средства вычислительной техники
+ВРЕМЕННЫХ ФАЙЛОВ
-информационной системы на этапе его загрузки.
-Доверенная загрузка должна обеспечивать:
-блокирование попыток несанкционированной загрузки нештатной
-операционной системы (среды) или недоступность информационных ресурсов
-для чтения или модификации в случае загрузки нештатной операционной
-системы;
-контроль доступа пользователей к процессу загрузки операционной
-системы;
-контроль целостности программного обеспечения и аппаратных
-компонентов средств вычислительной техники.
-В информационной системе применяется доверенная загрузка уровня
-базовой системы ввода-вывода, уровня платы расширения и уровня
-загрузочной записи.
-Требования к усилению УПД.17:
+Требования к реализации ОПС.4: В информационной системе должно
-) в информационной системе должна осуществляться доверенная
+осуществляться управление временными файлами, в том числе запрет,
-загрузка уровня базовой системы ввода-вывода или уровня платы расширения;
+разрешение, перенаправление записи, удаление временных файлов. 47
-) в информационной системе должна осуществляться доверенная
-загрузка уровня базовой системы ввода-вывода или уровня платы расширения,
-реализованные на основе программно-аппаратного модуля.
-Содержание базовой меры УПД.17:
+Управление временными файлами должно обеспечивать перехват записи
+временной информации в файлы на системном (загрузочном) разделе
+машинного носителя информации средства вычислительной техники и ее
+перенаправление в оперативную память и (или) в другой раздел машинного
+носителя информации с последующей очисткой (стиранием).
+Оператором должен быть определен порядок очистки (стирания)
+временных файлов.
-Мера защиты
+Требования к усилению ОПС.4:
-информации
+) в информационной системе должны осуществляться:
+а) контроль доступа к временным файлам;
+б) удаление временных файлов по завершению сеанса работы с ними.
+Содержание базовой меры ОПС.4:
+Мера защиты
+информации
 Класс защищенности информационной системы
 3 2 1
-УПД.17
+ОПС.4
-  + +
-Усиление
+Усиление ОПС.4
-УПД.17
-2
-==3.3 ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ (ОПС) ==
+==3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ) ==
-ОПС.1 УПРАВЛЕНИЕ ЗАПУСКОМ (ОБРАЩЕНИЯМИ)
+ЗНИ.1 УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
-КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ
-ОПРЕДЕЛЕНИЕ ЗАПУСКАЕМЫХ КОМПОНЕНТОВ, НАСТРОЙКА
-ПАРАМЕТРОВ ЗАПУСКА КОМПОНЕНТОВ, КОНТРОЛЬ ЗА ЗАПУСКОМ
-КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
-Требования к реализации ОПС.1: Оператором должны быть
+Требования к реализации ЗНИ.1: Оператором должна быть обеспечен
-реализованы следующие функции по управлению запуском (обращениями)
+учет машинных носителей информации, используемых в информационной
-компонентов программного обеспечения:
+системе для хранения и обработки информации.
-определение перечня (списка) компонентов программного обеспечения
+Учету подлежат:
-(файлов, объектов баз данных, хранимых процедур и иных компонентов),
+съемные машинные носители информации (флэш-накопители, внешние
-запускаемых автоматически при загрузке операционной системы средства
+накопители на жестких дисках и иные устройства);
-вычислительной техники;
+портативные вычислительные устройства, имеющие встроенные
-разрешение запуска компонентов программного обеспечения,
+носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны,
-включенных в перечень (список) программного обеспечения, запускаемого
+цифровые камеры, звукозаписывающие устройства и иные аналогичные по
-автоматически при загрузке операционной системы средства вычислительной
+функциональности устройства);
-техники;
+машинные носители информации, встроенные в корпус средств
-ограничение запуска компонентов программного обеспечения от имени
+вычислительной техники (накопители на жестких дисках).
-администраторов безопасности (например, разрешение такого запуска только
+Учет машинных носителей информации включает присвоение
-для программного обеспечения средств защиты информации: сенсоры систем
+регистрационных (учетных) номеров носителям. В качестве регистрационных
-обнаружения вторжений, агенты систем мониторинга событий
+номеров могут использоваться идентификационные (серийные) номера
-информационной безопасности, средства антивирусной защиты);
+машинных носителей, присвоенных производителями этих машинных
-настройка параметров запуска компонентов программного обеспечения
+носителей информации, номера инвентарного учета, в том числе инвентарные
-от имени учетной записи администратора безопасности таким образом, чтобы
+номера технических средств, имеющих встроенные носители информации и
-текущий пользователь средства вычислительной техники не мог получить через
+иные номера.
-данные компоненты доступ к объектам доступа, на доступ к которым у него нет
+Учет съемных машинных носителей информации ведется в журналах
-прав в соответствии с УПД.2;
+учета машинных носителей информации.
-контроль за запуском компонентов программного обеспечения,
+Учет встроенных в портативные или стационарные технические средства
-обеспечивающий выявление компонентов программного обеспечения, не
+машинных носителей информации может осуществляться вестись в журналах
-включенных в перечень (список) компонентов, запускаемых автоматически при
+материально-технического учета в составе соответствующих технических
-загрузке операционной системы средства вычислительной техники.
+средств. При использовании в составе одного технического средства
+информационной системы нескольких встроенных машинных носителей
+информации, конструктивно объединенных в единый ресурс для хранения
+информации, допускается присвоение регистрационного номера техническому
+средству в целом.
+Регистрационные или иные номера подлежат занесению в журналы учета
+машинных носителей информации или журналы материально-технического
+учета с указанием пользователя или группы пользователей, которым разрешен
+доступ к машинным носителям информации.
+Раздельному учету в журналах учета подлежат съемные (в том числе
+портативные) перезаписываемые машинные носители информации (флэш-
+накопители, съемные жесткие диски).
-Требования к усилению ОПС.1:
+Требования к усилению ЗНИ.1:
-) в информационной системе обеспечивается разрешение запуска только
+) оператором обеспечиваться маркировка машинных носителей
-тех программных компонентов, которые явно разрешены администратором
+информации, дополнительно включающая: 49
-безопасности;
-) в информационной системе обеспечивается использование средств
+а) информацию о возможности использования машинного носителя
-автоматизированного контроля перечня (списка) компонентов программного
+информации вне информационной системы;
-обеспечения, запускаемого автоматически при загрузке операционной системы
+б) информацию о возможности использования машинного носителя
-средства вычислительной техники;
+информации за пределами контролируемой зоны (конкретных помещений);
-) в информационной системе обеспечивается использование
+в) атрибуты безопасности, указывающие на возможность использования
-автоматизированных механизмов управления запуском (обращениями)
+этих машинных носителей информации для обработки (хранения)
-компонентов программного обеспечения; 44
+соответствующих видов информации.
+) оператором обеспечиваться маркировке машинных носителей
+информации, дополнительно включающая неотторгаемую цифровую метку
+носителя информации для обеспечения возможности распознавания
+(идентификации) носителя в системах управления доступом;
+) оператором обеспечиваться маркировка машинных носителей
+информации, дополнительно включающая использование механизмов
+распознавания (идентификации) носителя информации по его уникальным
+физическим характеристикам.
-) в информационной системе обеспечивается управление удаленным
+Содержание базовой меры ЗНИ.1:
-запуском компонентов программного обеспечения (например, запрет запуска
-компонентов программного обеспечения на одном средстве вычислительной
-техники командой с другого средства вычислительной техники);
-) в информационной системе обеспечивается управление временем
-запуска и завершения работы компонентов программного обеспечения
-(например, ограничение запуска только в течение рабочего дня);
-) в информационной системе обеспечивается контроль (состояния)
-целостности запускаемых компонентов программного обеспечения (файлов (в
-том числе конфигурационных), объектов баз данных, подключаемых библиотек
-и др.) в соответствии с ОЦЛ.1;
-) в информационной системе обеспечивается контроль обновления
-запускаемых компонентов программного обеспечения;
-) в информационной системе обеспечивается регистрация событий,
-связанных с контролем состояния и обновлением запускаемых компонентов
-программного обеспечения;
-) в информационной системе обеспечивается запрет (блокирование)
-запуска определенных оператором компонентов программного обеспечения, не
-прошедших аутентификацию в соответствии с ИАФ.7.
-Содержание базовой меры ОПС.1:
 Мера защиты
@@ Строка 1861: / Строка 1161: @@
 Класс защищенности информационной системы
 3 2 1
-ОПС.1
+ЗНИ.1 + + + +
- +
+Усиление ЗНИ.1
-Усиление ОПС.1
+а 1а, 1б
-, 2, 3
-ОПС.2 УПРАВЛЕНИЕ УСТАНОВКОЙ (ИНСТАЛЛЯЦИЕЙ)
+ЗНИ.2 УПРАВЛЕНИЕ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ
-КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ
+ИНФОРМАЦИИ
-ОПРЕДЕЛЕНИЕ КОМПОНЕНТОВ, ПОДЛЕЖАЩИХ УСТАНОВКЕ,
-НАСТРОЙКА ПАРАМЕТРОВ УСТАНОВКИ КОМПОНЕНТОВ, КОНТРОЛЬ
-ЗА УСТАНОВКОЙ КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
-Требования к реализации ОПС.2: Оператором должны быть
+Требования к реализации ЗНИ.2: Оператором должны быть
-реализованы следующие функции по управлению установкой (инсталляцией)
+реализованы следующие функции по управлению доступом к машинным
-компонентов программного обеспечения информационной системы:
+носителям информации, используемым в информационной системе:
-определение компонентов программного обеспечения (состава и
+определение должностных лиц, имеющих физический доступ к
-конфигурации), подлежащих установке в информационной системе после
+машинным носителям информации, а именно к следующим:
-загрузки операционной системы;
+съемным машинным носителям информации (флэш-накопители, внешние
-настройка параметров установки компонентов программного
+накопители на жестких дисках и иные устройства);
-обеспечения, обеспечивающая исключение установки (если осуществимо)
+портативным вычислительным устройствам, имеющим встроенные
-компонентов программного обеспечения, использование которых не требуется 45
+носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны,
+цифровые камеры, звукозаписывающие устройства и иные аналогичные по
+функциональности устройства);
+машинным носителям информации, стационарно устанавливаемым в
+корпус средств вычислительной техники (например, накопители на жестких
+дисках); 50
-для реализации информационной технологии информационной системы
+предоставление физического доступа к машинным носителям
-(например, при запуске установщика можно выбрать или не выбрать
+информации только тем лицам, которым он необходим для выполнения своих
-определенные опции и, тем самым, разрешить или запретить установку
+должностных обязанностей (функции);
-соответствующих компонентов программного обеспечения);
+Порядок и правила доступа к машинным носителям информации
-выбор конфигурации устанавливаемых компонентов программного
+регламентируются в организационно-распорядительных документах по защите
-обеспечения (в том числе конфигурации, предусматривающие включение в
+информации оператора.
-домен, или невключение в домен);
-контроль за установкой компонентов программного обеспечения (состав
-компонентов, параметры установки, конфигурация компонентов);
-определение и применение параметров настройки компонентов
-программного обеспечения, включая программные компоненты средств защиты
-информации, обеспечивающих реализацию мер защиты информации, а также
-устранение возможных уязвимостей информационной системы, приводящих к
-возникновению угроз безопасности информации.
-Требования к усилению ОПС.2:
+Требования к усилению ЗНИ.2:
-) в информационной системе должно обеспечиваться использование
+) применение автоматизированной системы контроля физического
-средств автоматизации для применения и контроля параметров настройки
+доступа в помещения, в которых осуществляется хранение машинных
-компонентов программного обеспечения, влияющих на безопасность
+носителей информации;
-информации;
+) опечатывание корпуса средства вычислительной техники, в котором
-) в информационной системе должны быть реализованы
+стационарно установлен машинный носитель информации;
-автоматизированные механизмы реагирования на несанкционированное
+) в информационной системе должно обеспечиваться применение
-изменение параметров настройки компонентов программного обеспечения,
+программных (программно-технических) автоматизированных средств
-влияющих на безопасность информации, предусматривающие блокирование
+управления физическим доступом к машинным носителям информации;
-доступа к средству вычислительной техники и (или) информации,
+) контроль физического доступа лиц к машинным носителям
-автоматическое восстановление параметров настройки или другие действия,
+информации в соответствии с атрибутами безопасности, установленными для
-препятствующие несанкционированному доступу к информации, который
+этих носителей.
-может быть получен вследствие несанкционированного изменения параметров
-настройки;
-) в информационной системе должно обеспечиваться использование
-средств автоматизации для инсталляции и централизованного управления
-процессами инсталляции, в том числе с применением пакетов эталонных
-дистрибутивов программного обеспечения.
-Содержание базовой меры ОПС.2:
+Содержание базовой меры ЗНИ.2:
 Мера защиты
@@ Строка 1923: / Строка 1210: @@
 Класс защищенности информационной системы
 3 2 1
-ОПС.2 + +
+ЗНИ.2 + + + +
-Усиление ОПС.2
+Усиление ЗНИ.2
-ОПС.3 УСТАНОВКА (ИНСТАЛЛЯЦИЯ) ТОЛЬКО РАЗРЕШЕННОГО К
-ИСПОЛЬЗОВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И (ИЛИ) ЕГО
-КОМПОНЕНТОВ
-Требования к реализации ОПС.3: Оператором должна быть обеспечена
+ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ
-установка (инсталляция) только разрешенного к использованию в
+ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ
-информационной системе программного обеспечения и (или) его компонентов.
-Установка (инсталляция) в информационной системе программного
-обеспечения (вида, типа, класса программного обеспечения) и (или) его
-компонентов осуществляется с учетом перечня программного обеспечения и
-(или) его компонентов, разрешенных оператором к установке, и (или) перечнем
-программного обеспечения и (или) его компонентов, запрещенных оператором
-к установке. Указанные перечни программного обеспечения и (или) его
-компонентов разрабатываются оператором для информационной системы в
-целом или для всех ее сегментов в отдельности.
-Установка (инсталляция) в информационной системе программного
-обеспечения и (или) его компонентов должна осуществляться только от имени
-администратора в соответствии с УПД.5.
-Оператором должен обеспечиваться периодический контроль
-установленного (инсталлированного) в информационной системе программного
-обеспечения на предмет соответствия его перечню программного обеспечения,
-разрешенному к установке в информационной системе в соответствии с АНЗ.4,
-а также на предмет отсутствия программного обеспечения, запрещенного
-оператором к установке.
-Требования к усилению ОПС.3:
+Требования к реализации ЗНИ.3: Оператором должен обеспечиваться
-Не установлены.
+контроль перемещения используемых в информационной системе машинных
+носителей информации за пределы контролируемой зоны. При контроле
+перемещения машинных носителей информации должны осуществляться:
+определение должностных лиц, имеющих права на перемещение
+машинных носителей информации за пределы контролируемой зоны;
+предоставление права на перемещение машинных носителей информации
+за пределы контролируемой зоны только тем лицам, которым оно необходимо
+для выполнения своих должностных обязанностей (функции);
+учет перемещаемых машинных носителей информации в соответствии с
+ЗНИ.1;
+периодическая проверка наличия машинных носителей информации. 51
+Требования к усилению ЗНИ.3:
+) оператором информационной системе определяются задачи (виды
+деятельности, функции), для решения которых необходимо перемещение
+машинных носителей информации за пределы контролируемой зоны;
+) применение в соответствии с законодательством Российской
+Федерации криптографических методов защиты информации, хранимой на
+носителе, при перемещении машинных носителей информации за пределы
+контролируемой зоны;
+) оператором определяется должностное лицо, ответственное за
+перемещение машинных носителей информации;
-Содержание базовой меры ОПС.3:
+Содержание базовой меры ЗНИ.3:
 Мера защиты
@@ Строка 1963: / Строка 1249: @@
 Класс защищенности информационной системы
 3 2 1
-ОПС.3 + + + +
+ЗНИ.3
-Усиление ОПС.3
+ + +
+Усиление ЗНИ.3
+ЗНИ.4 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ
+НЕСАНКЦИОНИРОВАННОГО ОЗНАКОМЛЕНИЯ С СОДЕРЖАНИЕМ
+ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА МАШИННЫХ НОСИТЕЛЯХ, И (ИЛИ)
+ИСПОЛЬЗОВАНИЯ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ИНЫХ
+ИНФОРМАЦИОННЫХ СИСТЕМАХ
-ОПС.4 УПРАВЛЕНИЕ ВРЕМЕННЫМИ ФАЙЛАМИ, В ТОМ ЧИСЛЕ
+Требования к реализации ЗНИ.4: Оператором должно обеспечиваться
-ЗАПРЕТ, РАЗРЕШЕНИЕ, ПЕРЕНАПРАВЛЕНИЕ ЗАПИСИ, УДАЛЕНИЕ
+исключение возможности несанкционированного ознакомления с содержанием
-ВРЕМЕННЫХ ФАЙЛОВ
+информации, хранящейся на машинных носителях, и (или) использования
+носителей информации в иных информационных системах.
+Исключение возможности несанкционированного ознакомления с
+содержанием информации, хранящейся на машинных носителях, и (или)
+использования носителей информации в иных информационных системах
+должно предусматривать:
+определение типов машинных носителей информации, подлежащих
+хранению в помещениях, специально предназначенных для хранения
+машинных носителей информации (хранилище машинных носителей
+информации);
+физический контроль и хранение машинных носителей информации в
+помещениях, специально предназначенных для хранения машинных носителей
+информации (хранилище машинных носителей информации); 52
-Требования к реализации ОПС.4: В информационной системе должно
+защита машинных носителей информации до уничтожения (стирания) с
-осуществляться управление временными файлами, в том числе запрет,
+них данных и остаточной информации с использованием средств стирания
-разрешение, перенаправление записи, удаление временных файлов. 47
+данных и остаточной информации.
-Управление временными файлами должно обеспечивать перехват записи
+Требования к усилению ЗНИ.4:
-временной информации в файлы на системном (загрузочном) разделе
+) оператором должны применяться средства контроля съемных
-машинного носителя информации средства вычислительной техники и ее
+машинных носителей информации;
-перенаправление в оперативную память и (или) в другой раздел машинного
+) оператором должны применяться в соответствии с законодательством
-носителя информации с последующей очисткой (стиранием).
+Российской Федерации криптографические методы защиты информации,
-Оператором должен быть определен порядок очистки (стирания)
+хранящейся на машинных носителях;
-временных файлов.
+) оператором должен быть определен перечь машинных носителей
+информации, подлежащих хранению в помещениях, специально
+предназначенных для хранения машинных носителей информации (хранилище
+машинных носителей информации).
-Требования к усилению ОПС.4:
+Содержание базовой меры ЗНИ.4:
-) в информационной системе должны осуществляться:
-а) контроль доступа к временным файлам;
-б) удаление временных файлов по завершению сеанса работы с ними.
-Содержание базовой меры ОПС.4:
 Мера защиты
@@ Строка 1995: / Строка 1298: @@
 Класс защищенности информационной системы
 3 2 1
-ОПС.4
+ЗНИ.4
+ + +
+Усиление ЗНИ.4
+1
-Усиление ОПС.4
+ЗНИ.5 КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ИНТЕРФЕЙСОВ ВВОДА
+(ВЫВОДА)
+Требования к реализации ЗНИ.5: В информационной системе должен
+осуществляться контроль использования интерфейсов ввода (вывода).
+Контроль использования (разрешение или запрет) интерфейсов ввода
+(вывода) должен предусматривать:
+определение оператором интерфейсов средств вычислительной техники,
+которые могут использоваться для ввода (вывода) информации, разрешенных и
+(или) запрещенных к использованию в информационной системе;
+определение оператором категорий пользователей, которым предоставлен
+доступ к разрешенным к использованию интерфейсов ввода (вывода);
+принятие мер, исключающих возможность использования запрещенных
+интерфейсов ввода (вывода);
+контроль доступа пользователей к разрешенным к использованию
+интерфейсов ввода (вывода).
+В качестве мер, исключающих возможность использования запрещенных
+интерфейсов ввода (вывода), могут применяться:
+опечатывание интерфейсов ввода (вывода);
+использование механических запирающих устройств; 53
+удаление драйверов, обеспечивающих работу интерфейсов ввода
+(вывода);
+применение соответствующих средств защиты информации.
-==3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ) ==
+Требования к усилению ЗНИ.5:
+) в информационной системе должна быть обеспечена регистрация
+использования интерфейсов ввода (вывода) в соответствии с РСБ.3;
+) оператором обеспечивается конструктивное (физическое) исключение
+из средства вычислительной техники запрещенных к использованию
+интерфейсов ввода (вывода).
-ЗНИ.1 УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
+Содержание базовой меры ЗНИ.5:
-Требования к реализации ЗНИ.1: Оператором должна быть обеспечен
+Мера защиты
-учет машинных носителей информации, используемых в информационной
+информации
-системе для хранения и обработки информации.
+Класс защищенности информационной системы
-Учету подлежат:
+3 2 1
-съемные машинные носители информации (флэш-накопители, внешние
+ЗНИ.5
-накопители на жестких дисках и иные устройства);
+ + +
-портативные вычислительные устройства, имеющие встроенные
+Усиление ЗНИ.5
-носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны,
-цифровые камеры, звукозаписывающие устройства и иные аналогичные по
-функциональности устройства);
-машинные носители информации, встроенные в корпус средств
-вычислительной техники (накопители на жестких дисках).
-Учет машинных носителей информации включает присвоение
-регистрационных (учетных) номеров носителям. В качестве регистрационных
-номеров могут использоваться идентификационные (серийные) номера
-машинных носителей, присвоенных производителями этих машинных
-носителей информации, номера инвентарного учета, в том числе инвентарные
-номера технических средств, имеющих встроенные носители информации и
-иные номера.
-Учет съемных машинных носителей информации ведется в журналах
-учета машинных носителей информации.
-Учет встроенных в портативные или стационарные технические средства
-машинных носителей информации может осуществляться вестись в журналах
-материально-технического учета в составе соответствующих технических
-средств. При использовании в составе одного технического средства
-информационной системы нескольких встроенных машинных носителей
-информации, конструктивно объединенных в единый ресурс для хранения
-информации, допускается присвоение регистрационного номера техническому
-средству в целом.
-Регистрационные или иные номера подлежат занесению в журналы учета
-машинных носителей информации или журналы материально-технического
-учета с указанием пользователя или группы пользователей, которым разрешен
-доступ к машинным носителям информации.
-Раздельному учету в журналах учета подлежат съемные (в том числе
-портативные) перезаписываемые машинные носители информации (флэш-
-накопители, съемные жесткие диски).
-Требования к усилению ЗНИ.1:
-) оператором обеспечиваться маркировка машинных носителей
-информации, дополнительно включающая: 49
-а) информацию о возможности использования машинного носителя
+ЗНИ.6 КОНТРОЛЬ ВВОДА (ВЫВОДА) ИНФОРМАЦИИ НА
-информации вне информационной системы;
+МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ
-б) информацию о возможности использования машинного носителя
-информации за пределами контролируемой зоны (конкретных помещений);
+Требования к реализации ЗНИ.6: В информационной системе должен
-в) атрибуты безопасности, указывающие на возможность использования
+осуществляться контроль ввода (вывода) информации на машинные носители
-этих машинных носителей информации для обработки (хранения)
+информации.
-соответствующих видов информации.
+Контроль ввода (вывода) информации на машинные носители
-) оператором обеспечиваться маркировке машинных носителей
+информации должен предусматривать:
-информации, дополнительно включающая неотторгаемую цифровую метку
+определение оператором типов носителей информации, на которые
-носителя информации для обеспечения возможности распознавания
+разрешен ввод (вывод) информации в соответствии с УПД.2;
-(идентификации) носителя в системах управления доступом;
+определение оператором категорий пользователей, которым
-) оператором обеспечиваться маркировка машинных носителей
+предоставлены полномочия по вводу (выводу) информации на машинные
-информации, дополнительно включающая использование механизмов
+носители в соответствии с УПД.2;
-распознавания (идентификации) носителя информации по его уникальным
+запрет действий по вводу (выводу) информации для пользователей, не
-физическим характеристикам.
+имеющих полномочий на ввод (вывод) информации на машинные носители
+информации, и на носители информации, на которые запрещен ввод (вывод)
+информации;
+регистрация действий пользователей и событий по вводу (выводу)
+информации на машинные носители информации в соответствии с РСБ.3.
+Требования к усилению ЗНИ.6:
+) в информационной систем должна создаваться копия информации,
+записываемой пользователями на съемные машинные носители информации
+(теневое копирование). 54
-Содержание базовой меры ЗНИ.1:
+Содержание базовой меры ЗНИ.6:
 Мера защиты
@@ Строка 2070: / Строка 1380: @@
 Класс защищенности информационной системы
 3 2 1
-ЗНИ.1 + + + +
+ЗНИ.6
-Усиление ЗНИ.1
-а 1а, 1б
+Усиление ЗНИ.6
-ЗНИ.2 УПРАВЛЕНИЕ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ
-ИНФОРМАЦИИ
-Требования к реализации ЗНИ.2: Оператором должны быть
-реализованы следующие функции по управлению доступом к машинным
-носителям информации, используемым в информационной системе:
-определение должностных лиц, имеющих физический доступ к
-машинным носителям информации, а именно к следующим:
-съемным машинным носителям информации (флэш-накопители, внешние
-накопители на жестких дисках и иные устройства);
-портативным вычислительным устройствам, имеющим встроенные
-носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны,
-цифровые камеры, звукозаписывающие устройства и иные аналогичные по
-функциональности устройства);
-машинным носителям информации, стационарно устанавливаемым в
-корпус средств вычислительной техники (например, накопители на жестких
-дисках); 50
-предоставление физического доступа к машинным носителям
+ЗНИ.7 КОНТРОЛЬ ПОДКЛЮЧЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ
-информации только тем лицам, которым он необходим для выполнения своих
+ИНФОРМАЦИИ
-должностных обязанностей (функции);
-Порядок и правила доступа к машинным носителям информации
-регламентируются в организационно-распорядительных документах по защите
-информации оператора.
-Требования к усилению ЗНИ.2:
+Требования к реализации ЗНИ.7: В информационной системе должен
-) применение автоматизированной системы контроля физического
+обеспечиваться контроль подключения машинных носителей информации.
-доступа в помещения, в которых осуществляется хранение машинных
+Контроль подключения машинных носителей информации должен
-носителей информации;
+предусматривать:
-) опечатывание корпуса средства вычислительной техники, в котором
+определение оператором типов носителей информации, подключение
-стационарно установлен машинный носитель информации;
+которых к информационной системе разрешено в соответствии с УПД.2;
-) в информационной системе должно обеспечиваться применение
+определение оператором категорий пользователей, которым
-программных (программно-технических) автоматизированных средств
+предоставлены полномочия по подключению носителей к информационной
-управления физическим доступом к машинным носителям информации;
+системе в соответствии с УПД.2;
-) контроль физического доступа лиц к машинным носителям
+запрет подключения носителей информации, подключение которых к
-информации в соответствии с атрибутами безопасности, установленными для
+информационной системе не разрешено;
-этих носителей.
+регистрация действий пользователей и событий по подключению к
+информационной системе носителей в соответствии с РСБ.3.
+Требования к усилению ЗНИ.7:
+) оператором должен обеспечиваться контроль подключения машинных
+носителей информации с использованием средств контроля подключения
+съемных носителей информации, позволяющих устанавливать разрешенные и
+(или) запрещенные типы и (или) конкретные съемные машинные носители
+информации для различных категорий пользователей;
+) запрет подключения к информационной системе носителей
+пользователями, не имеющими полномочий на подключение носителей.
-Содержание базовой меры ЗНИ.2:
+Содержание базовой меры ЗНИ.7:
 Мера защиты
@@ Строка 2119: / Строка 1418: @@
 Класс защищенности информационной системы
 3 2 1
-ЗНИ.2 + + + +
+ЗНИ.7
-Усиление ЗНИ.2
+Усиление ЗНИ.7
-ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ
-ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ
-Требования к реализации ЗНИ.3: Оператором должен обеспечиваться
+ЗНИ.8 УНИЧТОЖЕНИЕ (СТИРАНИЕ) ИНФОРМАЦИИ НА
-контроль перемещения используемых в информационной системе машинных
+МАШИННЫХ НОСИТЕЛЯХ ПРИ ИХ ПЕРЕДАЧЕ МЕЖДУ
-носителей информации за пределы контролируемой зоны. При контроле
+ПОЛЬЗОВАТЕЛЯМИ, В СТОРОННИЕ ОРГАНИЗАЦИИ ДЛЯ РЕМОНТА ИЛИ
-перемещения машинных носителей информации должны осуществляться:
+УТИЛИЗАЦИИ, А ТАКЖЕ КОНТРОЛЬ УНИЧТОЖЕНИЯ (СТИРАНИЯ)
-определение должностных лиц, имеющих права на перемещение
-машинных носителей информации за пределы контролируемой зоны;
-предоставление права на перемещение машинных носителей информации
-за пределы контролируемой зоны только тем лицам, которым оно необходимо
-для выполнения своих должностных обязанностей (функции);
-учет перемещаемых машинных носителей информации в соответствии с
-ЗНИ.1;
-периодическая проверка наличия машинных носителей информации. 51
+Требования к реализации ЗНИ.8: Оператором должно обеспечиваться
+уничтожение (стирание) информации на машинных носителях при их передаче
+между пользователями, в сторонние организации для ремонта или утилизации,
+а также контроль уничтожения (стирания) информации.
+Уничтожение (стирание) информации на машинных носителях должно
+исключать возможность восстановления информации конфиденциального
+характера (защищаемая информация) при передаче машинных носителей
+между пользователями, в сторонние организации для ремонта или утилизации.
+Уничтожению (стиранию) подлежит информация, хранящаяся на
+цифровых и нецифровых, съемных и несъемных машинных носителях
+информации.
+Процедуры уничтожения (стирания) информации на машинных
+носителях, а также контроля уничтожения (стирания) информации должны
+быть разработаны оператором и включены в организационно-
+распорядительные документы по защите информации.
-Требования к усилению ЗНИ.3:
+Требования к усилению ЗНИ.8:
-) оператором информационной системе определяются задачи (виды
+) оператором должны быть обеспечены регистрация и контроль
-деятельности, функции), для решения которых необходимо перемещение
+действий по удалению защищаемой информации и уничтожению машинных
-машинных носителей информации за пределы контролируемой зоны;
+носителей информации;
-) применение в соответствии с законодательством Российской
+) оператором должны проводиться периодическая проверка процедур и
-Федерации криптографических методов защиты информации, хранимой на
+тестирование средств стирания информации и контроля удаления информации;
-носителе, при перемещении машинных носителей информации за пределы
+) оператором перед подключением к информационной системе должно
-контролируемой зоны;
+быть обеспечено уничтожение (стирание) информации с носителей
-) оператором определяется должностное лицо, ответственное за
+информации после их приобретения и при первичном подключении к
-перемещение машинных носителей информации;
+информационной системе, при использовании в иных информационных
+системах, при передаче для постоянного использования от одного пользователя
-Содержание базовой меры ЗНИ.3:
+другому пользователю, после возвращения из ремонта, а также в иных случаях,
+определяемых оператором;
-Мера защиты
+) оператором должно быть обеспечено уничтожение машинных
-информации
+носителей информации, которые не подлежат очистке (неперезаписываемые
-Класс защищенности информационной системы
+машинные носители информации, такие как оптические диски типа CD-R);
-3 2 1
+) оператором должны применяться следующие меры по уничтожению
-ЗНИ.3
+(стиранию) информации на машинных носителях, исключающие возможность
- + +
+восстановления информации конфиденциального характера (защищаемая
-Усиление ЗНИ.3
+информация):
+а) удаление файлов штатными средствами операционной системы и (или)
+форматирование машинного носителя информации штатными средствами
+операционной системы; 56
+б) перезапись уничтожаемых (стираемых) файлов случайной битовой
+последовательностью, удаление записи о файлах, обнуление журнала файловой
+системы или полная перезапись всего адресного пространства машинного
+носителя информации случайной битовой последовательностью с
+последующим форматированием;
+в) очистка всего физического пространства машинного носителя
+информации, включая сбойные и резервные элементы памяти
+специализированными программами или утилитами производителя;
+г) полная многократная перезапись машинного носителя информации
+специальными битовыми последовательностями, зависящими от типа
+накопителя и используемого метода кодирования информации, затем очистка
+всего физического пространства накопителя, включая сбойные и резервные
+элементы памяти специализированными программами или утилитами
+производителя.
-ЗНИ.4 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ
+Содержание базовой меры ЗНИ.8:
-НЕСАНКЦИОНИРОВАННОГО ОЗНАКОМЛЕНИЯ С СОДЕРЖАНИЕМ
-ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА МАШИННЫХ НОСИТЕЛЯХ, И (ИЛИ)
-ИСПОЛЬЗОВАНИЯ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ИНЫХ
-ИНФОРМАЦИОННЫХ СИСТЕМАХ
-Требования к реализации ЗНИ.4: Оператором должно обеспечиваться
+Мера защиты
-исключение возможности несанкционированного ознакомления с содержанием
+информации
-информации, хранящейся на машинных носителях, и (или) использования
+Класс защищенности информационной системы
-носителей информации в иных информационных системах.
+3 2 1
-Исключение возможности несанкционированного ознакомления с
+ЗНИ.8 + + + +
-содержанием информации, хранящейся на машинных носителях, и (или)
+Усиление ЗНИ.8 5а 1, 5б 1, 5в 1, 2, 3, 5г
-использования носителей информации в иных информационных системах
-должно предусматривать:
-определение типов машинных носителей информации, подлежащих
-хранению в помещениях, специально предназначенных для хранения
-машинных носителей информации (хранилище машинных носителей
-информации);
-физический контроль и хранение машинных носителей информации в
-помещениях, специально предназначенных для хранения машинных носителей
-информации (хранилище машинных носителей информации); 52
-защита машинных носителей информации до уничтожения (стирания) с
-них данных и остаточной информации с использованием средств стирания
-данных и остаточной информации.
-Требования к усилению ЗНИ.4:
-) оператором должны применяться средства контроля съемных
-машинных носителей информации;
-) оператором должны применяться в соответствии с законодательством
-Российской Федерации криптографические методы защиты информации,
-хранящейся на машинных носителях;
-) оператором должен быть определен перечь машинных носителей
-информации, подлежащих хранению в помещениях, специально
-предназначенных для хранения машинных носителей информации (хранилище
-машинных носителей информации).
-Содержание базовой меры ЗНИ.4:
+==3.5. РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ (РСБ) ==
-Мера защиты
+===3.5.1. РСБ.1 ОПРЕДЕЛЕНИЕ СОБЫТИЙ БЕЗОПАСНОСТИ, ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ, И СРОКОВ ИХ ХРАНЕНИЯ ===
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗНИ.4
- + +
-Усиление ЗНИ.4
-1
+Требования к реализации РСБ.1: Оператором должны быть определены
+события безопасности в информационной системе, подлежащие регистрации, и
+сроки их хранения.
+События безопасности, подлежащие регистрации в информационной
+системе, должны определяться с учетом способов реализации угроз
+безопасности, признанных актуальными для информационной системы. К
+событиям безопасности, подлежащим регистрации в информационной системе,
+должны быть отнесены любые проявления состояния информационной
+системы и ее системы защиты информации, указывающие на возможность
+нарушения конфиденциальности, целостности или доступности информации,
+процедур, установленных организационно-распорядительными документами по
+защите информации оператора, а также на нарушение штатного
+функционирования средств защиты информации.
+События безопасности, подлежащие регистрации в информационной
+системе, и сроки их хранения соответствующих записей регистрационных
+журналов должны обеспечивать возможность обнаружения, идентификации и
+анализа инцидентов, возникших в информационной системе. Подлежат
+регистрации события безопасности, связанные с применением выбранных мер
+по защите информации в информационной системе.
+Перечень событий безопасности, регистрация которых осуществляется в
+текущий момент времени, определяется оператором исходя из возможностей
+реализации угроз безопасности информации.
+В информационной системе как минимум подлежат регистрации
+следующие события:
+вход (выход), а также попытки входа субъектов доступа в
+информационную систему и загрузки (останова) операционной системы;
+подключение машинных носителей информации и вывод информации на
+носители информации;
+запуск (завершение) программ и процессов (заданий, задач), связанных с
+обработкой защищаемой информации;
+попытки доступа программных средств к определяемым оператором
+защищаемым объектам доступа (техническим средствам, узлам сети, линиям
+(каналам) связи, внешним устройствам, программам, томам, каталогам, файлам,
+записям, полям записей) и иным объектам доступа.
+Состав и содержание информации о событиях безопасности, подлежащих
+регистрации, определяются в соответствии с РСБ.2.
-ЗНИ.5 КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ИНТЕРФЕЙСОВ ВВОДА
+Требования к усилению РСБ.1:
-(ВЫВОДА)
+) оператором должен обеспечиваться пересмотр перечня событий
+безопасности, подлежащих регистрации, не менее чем один раз в год; 58
-Требования к реализации ЗНИ.5: В информационной системе должен
-осуществляться контроль использования интерфейсов ввода (вывода).
+) оператором в перечень событий безопасности, подлежащих
-Контроль использования (разрешение или запрет) интерфейсов ввода
+регистрации, должны быть включены события, связанные с действиями от
-(вывода) должен предусматривать:
+имени привилегированных учетных записей (администраторов);
-определение оператором интерфейсов средств вычислительной техники,
+) оператором должен быть обеспечен срок хранения информации о
-которые могут использоваться для ввода (вывода) информации, разрешенных и
+зарегистрированных событиях безопасности не менее трех месяцев, если иное
-(или) запрещенных к использованию в информационной системе;
+не установлено требованиями законодательства Российской Федерации, при
-определение оператором категорий пользователей, которым предоставлен
+этом:
-доступ к разрешенным к использованию интерфейсов ввода (вывода);
+а) осуществляется хранение только записей о выявленных событиях
-принятие мер, исключающих возможность использования запрещенных
+безопасности;
-интерфейсов ввода (вывода);
+б) осуществляется хранение записей о выявленных событиях
-контроль доступа пользователей к разрешенным к использованию
+безопасности и записей системных журналов, которые послужили основанием
-интерфейсов ввода (вывода).
+для регистрации события безопасности;
-В качестве мер, исключающих возможность использования запрещенных
+в) осуществляется хранение всех записей системных журналов и событий
-интерфейсов ввода (вывода), могут применяться:
+безопасности.
-опечатывание интерфейсов ввода (вывода);
-использование механических запирающих устройств; 53
-удаление драйверов, обеспечивающих работу интерфейсов ввода
+Содержание базовой меры РСБ.1:
-(вывода);
-применение соответствующих средств защиты информации.
-Требования к усилению ЗНИ.5:
-) в информационной системе должна быть обеспечена регистрация
-использования интерфейсов ввода (вывода) в соответствии с РСБ.3;
-) оператором обеспечивается конструктивное (физическое) исключение
-из средства вычислительной техники запрещенных к использованию
-интерфейсов ввода (вывода).
-Содержание базовой меры ЗНИ.5:
 Мера защиты
@@ Строка 2251: / Строка 1563: @@
 Класс защищенности информационной системы
 3 2 1
-ЗНИ.5
+РСБ.1 + + + +
- + +
+Усиление РСБ.1 1, 3а 1, 2, 3б
-Усиление ЗНИ.5
+РСБ.2 ОПРЕДЕЛЕНИЕ СОСТАВА И СОДЕРЖАНИЯ ИНФОРМАЦИИ О
+СОБЫТИЯХ БЕЗОПАСНОСТИ, ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ
-ЗНИ.6 КОНТРОЛЬ ВВОДА (ВЫВОДА) ИНФОРМАЦИИ НА
+Требования к реализации РСБ.2:В информационной системе должны
-МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ
+быть определены состав и содержание информации о событиях безопасности,
+подлежащих регистрации.
+Состав и содержание информации о событиях безопасности, включаемой
+в записи регистрации о событиях безопасности, должны, как минимум,
+обеспечить возможность идентификации типа события безопасности, даты и
+времени события безопасности, идентификационной информации источника
+события безопасности, результат события безопасности (успешно или
+неуспешно), субъект доступа (пользователь и (или) процесс), связанный с
+данным событием безопасности.
+При регистрации входа (выхода) субъектов доступа в информационную
+систему и загрузки (останова) операционной системы состав и содержание
+информации должны, как минимум включать дату и время входа (выхода)
+пользователя в систему (из системы) или загрузки (останова) операционной
+системы, результат попытки входа (успешная или неуспешная), идентификатор
+пользователя, предъявленный при попытке доступа. 59
-Требования к реализации ЗНИ.6: В информационной системе должен
+При регистрации подключения машинных носителей информации и
-осуществляться контроль ввода (вывода) информации на машинные носители
+вывода информации на носители информации состав и содержание
-информации.
+регистрационных записей должны, как минимум, включать дату и время
-Контроль ввода (вывода) информации на машинные носители
+подключения машинных носителей информации и вывода информации на
-информации должен предусматривать:
+носители информации, логическое имя (номер) подключаемого машинного
-определение оператором типов носителей информации, на которые
+носителя информации, идентификатор пользователя, осуществляющего вывод
-разрешен ввод (вывод) информации в соответствии с УПД.2;
+информации на носитель информации).
-определение оператором категорий пользователей, которым
+При регистрации запуска (завершения) программ и процессов (заданий,
-предоставлены полномочия по вводу (выводу) информации на машинные
+задач), связанных с обработкой защищаемой информации состав и содержание
-носители в соответствии с УПД.2;
+регистрационных записей должны, как минимум, включать дату и время
-запрет действий по вводу (выводу) информации для пользователей, не
+запуска, имя (идентификатор) программы (процесса, задания), идентификатор
-имеющих полномочий на ввод (вывод) информации на машинные носители
+пользователя (устройства), запросившего программу (процесс, задание),
-информации, и на носители информации, на которые запрещен ввод (вывод)
+результат запуска (успешный, неуспешный).
-информации;
+При регистрации попытки доступа программных средств (программ,
-регистрация действий пользователей и событий по вводу (выводу)
+процессов, задач, заданий) к защищаемым файлам состав и содержание
-информации на машинные носители информации в соответствии с РСБ.3.
+регистрационных записей должны, как минимум, включать дату и время
+попытки доступа к защищаемому файлу с указанием ее результата (успешная,
+неуспешная), идентификатор пользователя (устройства), спецификация
+защищаемого файла).
+При регистрации попытки доступа программных средств к защищаемым
+объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи,
+внешним устройствам, программам, томам, каталогам, записям, полям записей)
+состав и содержание информации должны, как минимум, включать дату и
+время попытки доступа к защищаемому объекту с указанием ее результата
+(успешная, неуспешная), идентификатор пользователя (устройства),
+спецификация защищаемого объекта (логическое имя (номер).
+Требования к усилению РСБ.2:
+) в информационной системе обеспечивается запись дополнительной
+информации о событиях безопасности, включающую полнотекстовую запись
+привилегированных команд (команд, управляющих системными функциями);
+) в информационной системе обеспечивается централизованное
+управление записями регистрации событий безопасности в рамках сегментов
+информационной системы, определяемых оператором, и (или)
+информационной системы в целом;
+) в информационной системе обеспечивается индивидуальная
+регистрация пользователей групповых учетных записей*
+.
-Требования к усилению ЗНИ.6:
-) в информационной систем должна создаваться копия информации,
-записываемой пользователями на съемные машинные носители информации
-(теневое копирование). 54
+*
+ Локальные и доменные группы пользователей. 60
-Содержание базовой меры ЗНИ.6:
+Содержание базовой меры РСБ.2:
 Мера защиты
@@ Строка 2289: / Строка 1636: @@
 Класс защищенности информационной системы
 3 2 1
-ЗНИ.6
+РСБ.2 + + + +
+Усиление РСБ.2 1 1
-Усиление ЗНИ.6
+РСБ.3 СБОР, ЗАПИСЬ И ХРАНЕНИЕ ИНФОРМАЦИИ О СОБЫТИЯХ
+БЕЗОПАСНОСТИ В ТЕЧЕНИЕ УСТАНОВЛЕННОГО ВРЕМЕНИ ХРАНЕНИЯ
+Требования к реализации РСБ.3: В информационной системе должны
+осуществляться сбор, запись и хранение информации о событиях безопасности
+в течение установленного оператором времени хранения информации о
+событиях безопасности.
+Сбор, запись и хранение информации о событиях безопасности в течение
+установленного времени хранения должен предусматривать:
+возможность выбора администратором безопасности событий
+безопасности, подлежащих регистрации в текущий момент времени из перечня
+событий безопасности определенных в соответствии с РСБ.1;
+генерацию (сбор, запись) записей регистрации (аудита) для событий
+безопасности, подлежащих регистрации (аудиту) в соответствии с РСБ.1 с
+составом и содержанием информации, определенными в соответствии с РСБ.2;
+хранение информации о событиях безопасности в течение времени,
+установленного в соответствии с РСБ.1.
+Объем памяти для хранения информации о событиях безопасности
+должен быть рассчитан и выделен с учетом типов событий безопасности,
+подлежащих регистрации в соответствии с РСБ.1; составом и содержанием
+информации о событиях безопасности, подлежащих регистрации, в
+соответствии с РСБ.2, прогнозируемой частоты возникновения подлежащих
+регистрации событий безопасности, срока хранения информации о
+зарегистрированных событиях безопасности в соответствии с РСБ.1.
-ЗНИ.7 КОНТРОЛЬ ПОДКЛЮЧЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ
+Требования к усилению РСБ.3:
-ИНФОРМАЦИИ
+) в информационной системе должно быть обеспечено централизованное
+автоматизированное управление сбором, записью и хранением информации о
+событиях безопасности;
+) в информационной системе обеспечивается объединение информации
+из записей регистрации событий безопасности, полученной от разных
+технических средств (устройств), программного обеспечения информационной
+системы, в единый логический или физический журнал аудита с корреляцией
+информации по времени для своевременного выявления инцидентов и
+реагирования на них; 61
-Требования к реализации ЗНИ.7: В информационной системе должен
+) в информационной системе обеспечивается объединение информации
-обеспечиваться контроль подключения машинных носителей информации.
+из записей регистрации событий безопасности, полученной от разных
-Контроль подключения машинных носителей информации должен
+технических средств (устройств), программного обеспечения информационной
-предусматривать:
+системы, в единый логический или физический журнал аудита с корреляцией
-определение оператором типов носителей информации, подключение
+информации по событиям безопасности для своевременного выявления
-которых к информационной системе разрешено в соответствии с УПД.2;
+инцидентов и реагирования на них в масштабах оператора;
-определение оператором категорий пользователей, которым
+) в информационной системе обеспечивается хранение записей
-предоставлены полномочия по подключению носителей к информационной
+системных журналов и записей о событиях безопасности в обособленном
-системе в соответствии с УПД.2;
+хранилище, физически отделенным от технических средств, входящих в состав
-запрет подключения носителей информации, подключение которых к
+информационной системы.
-информационной системе не разрешено;
-регистрация действий пользователей и событий по подключению к
-информационной системе носителей в соответствии с РСБ.3.
-Требования к усилению ЗНИ.7:
+Содержание базовой меры РСБ.3:
-) оператором должен обеспечиваться контроль подключения машинных
-носителей информации с использованием средств контроля подключения
-съемных носителей информации, позволяющих устанавливать разрешенные и
-(или) запрещенные типы и (или) конкретные съемные машинные носители
-информации для различных категорий пользователей;
-) запрет подключения к информационной системе носителей
-пользователями, не имеющими полномочий на подключение носителей.
-Содержание базовой меры ЗНИ.7:
 Мера защиты
@@ Строка 2327: / Строка 1693: @@
 Класс защищенности информационной системы
 3 2 1
-ЗНИ.7
+РСБ.3 + + + +
+Усиление РСБ.3 1 1
-Усиление ЗНИ.7
+РСБ.4 РЕАГИРОВАНИЕ НА СБОИ ПРИ РЕГИСТРАЦИИ СОБЫТИЙ
+БЕЗОПАСНОСТИ, В ТОМ ЧИСЛЕ АППАРАТНЫЕ И ПРОГРАММНЫЕ
+ОШИБКИ, СБОИ В МЕХАНИЗМАХ СБОРА ИНФОРМАЦИИ И
+ДОСТИЖЕНИЕ ПРЕДЕЛА ИЛИ ПЕРЕПОЛНЕНИЯ ОБЪЕМА (ЕМКОСТИ)
+ПАМЯТИ
+Требования к реализации РСБ.4: В информационной системе должно
+осуществляться реагирование на сбои при регистрации событий безопасности,
+в том числе аппаратные и программные ошибки, сбои в механизмах сбора
+информации и достижение предела или переполнения объема (емкости) памяти.
+Реагирование на сбои при регистрации событий безопасности должно
+предусматривать:
+предупреждение (сигнализация, индикация) администраторов о сбоях
+(аппаратных и программных ошибках, сбоях в механизмах сбора информации и
+достижении предела или переполнения объема (емкости) памяти) при
+регистрации событий безопасности;
+реагирование на сбои при регистрации событий безопасности путем
+изменения администраторами параметров сбора, записи и хранения
+информации о событиях безопасности, в том числе отключение записи
+информации о событиях безопасности от части элементов информационной
+системы, запись поверх устаревших хранимых записей событий безопасности.
-ЗНИ.8 УНИЧТОЖЕНИЕ (СТИРАНИЕ) ИНФОРМАЦИИ НА
+Требования к усилению РСБ.4:
-МАШИННЫХ НОСИТЕЛЯХ ПРИ ИХ ПЕРЕДАЧЕ МЕЖДУ
+) в информационной системе обеспечивается выдача предупреждения
-ПОЛЬЗОВАТЕЛЯМИ, В СТОРОННИЕ ОРГАНИЗАЦИИ ДЛЯ РЕМОНТА ИЛИ
+администратору при заполнении объема памяти для хранения информации о
-УТИЛИЗАЦИИ, А ТАКЖЕ КОНТРОЛЬ УНИЧТОЖЕНИЯ (СТИРАНИЯ)
+событиях безопасности:
+а) более, чем на 90%;
-Требования к реализации ЗНИ.8: Оператором должно обеспечиваться
+б) более, чем на 70%.
-уничтожение (стирание) информации на машинных носителях при их передаче
+) в информационной системе обеспечивается выдача предупреждения
-между пользователями, в сторонние организации для ремонта или утилизации,
+администратору в масштабе времени, близком к реальному, при наступлении
-а также контроль уничтожения (стирания) информации.
+критичных сбоев в механизмах сбора информации, определенных оператором;
-Уничтожение (стирание) информации на машинных носителях должно
+) производительность механизмов регистрации (аудита) трафика должна
-исключать возможность восстановления информации конфиденциального
+быть рассчитана так, чтобы не оказывать негативного влияния на работу
-характера (защищаемая информация) при передаче машинных носителей
+информационной системы;
-между пользователями, в сторонние организации для ремонта или утилизации.
+) в информационной системе обеспечивается запрет обработки
-Уничтожению (стиранию) подлежит информация, хранящаяся на
+информации в случае аппаратных или программных ошибок, сбоев в
-цифровых и нецифровых, съемных и несъемных машинных носителях
+механизмах сбора информации или достижения предела или переполнения
-информации.
+объема (емкости) памяти.
-Процедуры уничтожения (стирания) информации на машинных
-носителях, а также контроля уничтожения (стирания) информации должны
+Содержание базовой меры РСБ.4:
-быть разработаны оператором и включены в организационно-
-распорядительные документы по защите информации.
+Мера защиты
+информации
+Класс защищенности информационной системы
+3 2 1
+РСБ.4 + + + +
+Усиление РСБ.4 1, 2, 4
-Требования к усилению ЗНИ.8:
-) оператором должны быть обеспечены регистрация и контроль
-действий по удалению защищаемой информации и уничтожению машинных
-носителей информации;
-) оператором должны проводиться периодическая проверка процедур и
-тестирование средств стирания информации и контроля удаления информации;
-) оператором перед подключением к информационной системе должно
-быть обеспечено уничтожение (стирание) информации с носителей
-информации после их приобретения и при первичном подключении к
-информационной системе, при использовании в иных информационных
-системах, при передаче для постоянного использования от одного пользователя
-другому пользователю, после возвращения из ремонта, а также в иных случаях,
-определяемых оператором;
-) оператором должно быть обеспечено уничтожение машинных
-носителей информации, которые не подлежат очистке (неперезаписываемые
-машинные носители информации, такие как оптические диски типа CD-R);
-) оператором должны применяться следующие меры по уничтожению
-(стиранию) информации на машинных носителях, исключающие возможность
-восстановления информации конфиденциального характера (защищаемая
-информация):
-а) удаление файлов штатными средствами операционной системы и (или)
-форматирование машинного носителя информации штатными средствами
-операционной системы; 56
-б) перезапись уничтожаемых (стираемых) файлов случайной битовой
+РСБ.5 МОНИТОРИНГ (ПРОСМОТР, АНАЛИЗ) РЕЗУЛЬТАТОВ
-последовательностью, удаление записи о файлах, обнуление журнала файловой
+РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ И РЕАГИРОВАНИЕ НА НИХ
-системы или полная перезапись всего адресного пространства машинного
-носителя информации случайной битовой последовательностью с
+Требования к реализации РСБ.5: В организации должен
-последующим форматированием;
+осуществляться мониторинг (просмотр, анализ) результатов регистрации
-в) очистка всего физического пространства машинного носителя
+событий безопасности и реагирование на них.
-информации, включая сбойные и резервные элементы памяти
+Мониторинг (просмотр и анализ) записей регистрации (аудита) должен
-специализированными программами или утилитами производителя;
+проводиться для всех событий, подлежащих регистрации в соответствии с
-г) полная многократная перезапись машинного носителя информации
+РСБ.1, и с периодичностью, установленной оператором, и обеспечивающей
-специальными битовыми последовательностями, зависящими от типа
+своевременное выявление признаков инцидентов безопасности в
-накопителя и используемого метода кодирования информации, затем очистка
+информационной системе.
-всего физического пространства накопителя, включая сбойные и резервные
+По результатам проведения мониторинга (просмотра и анализа) записей
-элементы памяти специализированными программами или утилитами
+регистрации (аудита) должна разрабатываться отчетность с результатами его
-производителя.
+проведения.
+Требования к усилению РСБ.5:
+) в информационной системе должен обеспечиваться мониторинг
+(просмотр и анализ) записей регистрации (аудита):
+а) периодически, с периодом, определяемым оператором;
+б) постоянно.
+) в информационной системе должен обеспечиваться интеграция
+результатов мониторинга (просмотра и анализа) записей регистрации (аудита)
+из разных источников (хранилищ информации о событиях безопасности) и их
+корреляция с целью выявления инцидентов безопасности и реагирования на
+них;
+) в информационной системе обеспечивается интеграция процессов
+мониторинга (просмотра, анализа) результатов регистрации событий
+безопасности с результатами анализа уязвимостей, проводимого в соответствии
+с АНЗ.1, и результатами обнаружения вторжений, проводимого в соответствии
+с СОВ.1 с целью усиления возможностей по выявлению признаков инцидентов
+безопасности;
+) в информационной системе обеспечивается полнотекстовый анализ
+привилегированных команд.
-Содержание базовой меры ЗНИ.8:
+Содержание базовой меры РСБ.5:
 Мера защиты
@@ Строка 2400: / Строка 1788: @@
 Класс защищенности информационной системы
 3 2 1
-ЗНИ.8 + + + +
+РСБ.5 + + + +
-Усиление ЗНИ.8 5а 1, 5б 1, 5в 1, 2, 3, 5г
+Усиление РСБ.5 1а 1б, 2
+РСБ.6 ГЕНЕРИРОВАНИЕ ВРЕМЕННЫХ МЕТОК И (ИЛИ)
+СИНХРОНИЗАЦИЯ СИСТЕМНОГО ВРЕМЕНИ В ИНФОРМАЦИОННОЙ
+СИСТЕМЕ
+Требования к реализации РСБ.6: В информационной системе должно
+осуществляться генерирование надежных меток времени и (или)
+синхронизация системного времени.
+Получение меток времени, включающих дату и время, используемых при
+генерации записей регистрации (аудита) событий безопасности в
+информационной системе достигается посредствам применения внутренних
+системных часов информационной системы.
+Требования к усилению РСБ.6:
+) в информационной системе должна выполняться синхронизация
+системного времени в информационной системе, в том числе должен быть
+определен источник времени, используемый в качестве эталона, и должна быть 64
-==3.5. РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ (РСБ) ==
+определена периодичность синхронизации системного времени в
+информационной системе;
+) в информационной системе должен быть определен доверенный
+источник времени.
-===3.5.1. РСБ.1 ОПРЕДЕЛЕНИЕ СОБЫТИЙ БЕЗОПАСНОСТИ, ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ, И СРОКОВ ИХ ХРАНЕНИЯ ===
+Содержание базовой меры РСБ.6:
+Меры защиты
+информации
+Класс защищенности информационной системы
+3 2 1
+РСБ.6 + + + +
+Усиление РСБ.6 1. 2 1, 2
-Требования к реализации РСБ.1: Оператором должны быть определены
-события безопасности в информационной системе, подлежащие регистрации, и
-сроки их хранения.
-События безопасности, подлежащие регистрации в информационной
-системе, должны определяться с учетом способов реализации угроз
-безопасности, признанных актуальными для информационной системы. К
-событиям безопасности, подлежащим регистрации в информационной системе,
-должны быть отнесены любые проявления состояния информационной
-системы и ее системы защиты информации, указывающие на возможность
-нарушения конфиденциальности, целостности или доступности информации,
-процедур, установленных организационно-распорядительными документами по
-защите информации оператора, а также на нарушение штатного
-функционирования средств защиты информации.
-События безопасности, подлежащие регистрации в информационной
-системе, и сроки их хранения соответствующих записей регистрационных
-журналов должны обеспечивать возможность обнаружения, идентификации и
-анализа инцидентов, возникших в информационной системе. Подлежат
-регистрации события безопасности, связанные с применением выбранных мер
-по защите информации в информационной системе.
-Перечень событий безопасности, регистрация которых осуществляется в
-текущий момент времени, определяется оператором исходя из возможностей
-реализации угроз безопасности информации.
-В информационной системе как минимум подлежат регистрации
-следующие события:
-вход (выход), а также попытки входа субъектов доступа в
-информационную систему и загрузки (останова) операционной системы;
-подключение машинных носителей информации и вывод информации на
-носители информации;
-запуск (завершение) программ и процессов (заданий, задач), связанных с
-обработкой защищаемой информации;
-попытки доступа программных средств к определяемым оператором
-защищаемым объектам доступа (техническим средствам, узлам сети, линиям
-(каналам) связи, внешним устройствам, программам, томам, каталогам, файлам,
-записям, полям записей) и иным объектам доступа.
-Состав и содержание информации о событиях безопасности, подлежащих
-регистрации, определяются в соответствии с РСБ.2.
-Требования к усилению РСБ.1:
+РСБ.7 ЗАЩИТА ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ
-) оператором должен обеспечиваться пересмотр перечня событий
-безопасности, подлежащих регистрации, не менее чем один раз в год; 58
-) оператором в перечень событий безопасности, подлежащих
+Требования к реализации РСБ.7: В информационной системе должна
-регистрации, должны быть включены события, связанные с действиями от
+обеспечиваться защита информации о событиях безопасности.
-имени привилегированных учетных записей (администраторов);
+Защита информации о событиях безопасности (записях регистрации
-) оператором должен быть обеспечен срок хранения информации о
+(аудита)) обеспечивается применением мер защиты информации от
-зарегистрированных событиях безопасности не менее трех месяцев, если иное
+неправомерного доступа, уничтожения или модифицирования, определенных в
-не установлено требованиями законодательства Российской Федерации, при
+соответствии с настоящим методическим документом, и в том числе включает
-этом:
+защиту средств ведения регистрации (аудита) и настроек механизмов
-а) осуществляется хранение только записей о выявленных событиях
+регистрации событий.
-безопасности;
+Доступ к записям аудита и функциям управления механизмами
-б) осуществляется хранение записей о выявленных событиях
+регистрации (аудита) должен предоставляться только уполномоченным
-безопасности и записей системных журналов, которые послужили основанием
+должностным лицам.
-для регистрации события безопасности;
-в) осуществляется хранение всех записей системных журналов и событий
+Требования к усилению РСБ.7:
-безопасности.
+) в информационной системе обеспечивается резервное копирование
+записей регистрации (аудита);
+) в информационной системе обеспечивается резервное копирование
+записей регистрации (аудита) на носители однократной записи
+(неперезаписываемые носители информации);
+) в информационной системе для обеспечения целостности информации
+о событиях безопасности должны применяться в соответствии с
+законодательством Российской Федерации криптографические методы;
+) оператор предоставляет доступ к записям регистрации событий
+безопасности (аудита) ограниченному кругу администраторов.
-Содержание базовой меры РСБ.1:
+Содержание базовой меры РСБ.7:
 Мера защиты
@@ Строка 2472: / Строка 1857: @@
 Класс защищенности информационной системы
 3 2 1
-РСБ.1 + + + +
+РСБ.7 + + + +
-Усиление РСБ.1 1, 3а 1, 2, 3б
+Усиление РСБ.7 1 1
+РСБ.8 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ПРОСМОТРА И АНАЛИЗА
+ИНФОРМАЦИИ О ДЕЙСТВИЯХ ОТДЕЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ В
+ИНФОРМАЦИОННОЙ СИСТЕМЕ
+Требования к реализации РСБ.8: В информационной системе должна
+иметься возможность просмотра и анализа информации о действиях отдельных
+пользователей в информационной системе.
+Сведения о действиях отдельных пользователей в информационной
+системе должны предоставляться уполномоченным должностным лицам для
+просмотра и анализа с целью расследования причин возникновения инцидентов
+в информационной системе в соответствии с законодательством Российской
+Федерации.
+Требования к усилению РСБ.8:
+) в информационной системе должна быть обеспечена возможность
+автоматизированной обработки записей регистрации (аудита) событий
+безопасности на основе критериев избирательности.
+Содержание базовой меры РСБ.8:
-РСБ.2 ОПРЕДЕЛЕНИЕ СОСТАВА И СОДЕРЖАНИЯ ИНФОРМАЦИИ О
-СОБЫТИЯХ БЕЗОПАСНОСТИ, ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ
-Требования к реализации РСБ.2:В информационной системе должны
-быть определены состав и содержание информации о событиях безопасности,
-подлежащих регистрации.
-Состав и содержание информации о событиях безопасности, включаемой
-в записи регистрации о событиях безопасности, должны, как минимум,
-обеспечить возможность идентификации типа события безопасности, даты и
-времени события безопасности, идентификационной информации источника
-события безопасности, результат события безопасности (успешно или
-неуспешно), субъект доступа (пользователь и (или) процесс), связанный с
-данным событием безопасности.
-При регистрации входа (выхода) субъектов доступа в информационную
-систему и загрузки (останова) операционной системы состав и содержание
-информации должны, как минимум включать дату и время входа (выхода)
-пользователя в систему (из системы) или загрузки (останова) операционной
-системы, результат попытки входа (успешная или неуспешная), идентификатор
-пользователя, предъявленный при попытке доступа. 59
-При регистрации подключения машинных носителей информации и
+Мера защиты
-вывода информации на носители информации состав и содержание
+информации
-регистрационных записей должны, как минимум, включать дату и время
-подключения машинных носителей информации и вывода информации на
-носители информации, логическое имя (номер) подключаемого машинного
-носителя информации, идентификатор пользователя, осуществляющего вывод
-информации на носитель информации).
-При регистрации запуска (завершения) программ и процессов (заданий,
-задач), связанных с обработкой защищаемой информации состав и содержание
-регистрационных записей должны, как минимум, включать дату и время
-запуска, имя (идентификатор) программы (процесса, задания), идентификатор
-пользователя (устройства), запросившего программу (процесс, задание),
-результат запуска (успешный, неуспешный).
-При регистрации попытки доступа программных средств (программ,
-процессов, задач, заданий) к защищаемым файлам состав и содержание
-регистрационных записей должны, как минимум, включать дату и время
-попытки доступа к защищаемому файлу с указанием ее результата (успешная,
-неуспешная), идентификатор пользователя (устройства), спецификация
-защищаемого файла).
-При регистрации попытки доступа программных средств к защищаемым
-объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи,
-внешним устройствам, программам, томам, каталогам, записям, полям записей)
-состав и содержание информации должны, как минимум, включать дату и
-время попытки доступа к защищаемому объекту с указанием ее результата
-(успешная, неуспешная), идентификатор пользователя (устройства),
-спецификация защищаемого объекта (логическое имя (номер).
-Требования к усилению РСБ.2:
-) в информационной системе обеспечивается запись дополнительной
-информации о событиях безопасности, включающую полнотекстовую запись
-привилегированных команд (команд, управляющих системными функциями);
-) в информационной системе обеспечивается централизованное
-управление записями регистрации событий безопасности в рамках сегментов
-информационной системы, определяемых оператором, и (или)
-информационной системы в целом;
-) в информационной системе обеспечивается индивидуальная
-регистрация пользователей групповых учетных записей*
-.
-*
- Локальные и доменные группы пользователей. 60
-Содержание базовой меры РСБ.2:
-Мера защиты
-информации
 Класс защищенности информационной системы
 3 2 1
-РСБ.2 + + + +
+РСБ.8
-Усиление РСБ.2 1 1
+Усиление РСБ.8 66
+==3.6. АНТИВИРУСНАЯ ЗАЩИТА (АВЗ)==
-РСБ.3 СБОР, ЗАПИСЬ И ХРАНЕНИЕ ИНФОРМАЦИИ О СОБЫТИЯХ
+===АВЗ.1 РЕАЛИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ===
-БЕЗОПАСНОСТИ В ТЕЧЕНИЕ УСТАНОВЛЕННОГО ВРЕМЕНИ ХРАНЕНИЯ
-Требования к реализации РСБ.3: В информационной системе должны
+'''Требования к реализации АВЗ.1''':
-осуществляться сбор, запись и хранение информации о событиях безопасности
-в течение установленного оператором времени хранения информации о
+Оператором обеспечивается антивирусная защита информационной системы.
-событиях безопасности.
-Сбор, запись и хранение информации о событиях безопасности в течение
+Реализация антивирусной защиты должна предусматривать:
-установленного времени хранения должен предусматривать:
+* применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы);
-возможность выбора администратором безопасности событий
+* установку, конфигурирование и управление средствами антивирусной защиты;
-безопасности, подлежащих регистрации в текущий момент времени из перечня
+* предоставление доступа средствам антивирусной защиты к объектам информационной системы, которые должны быть подвергнуты проверке средством антивирусной защиты;
-событий безопасности определенных в соответствии с РСБ.1;
+* проведение периодических проверок объектов информационной системы (автоматизированных рабочих мест, серверов, других средств вычислительной техники) на наличие вредоносных компьютерных программ (вирусов);
-генерацию (сбор, запись) записей регистрации (аудита) для событий
+* проверка в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов;
-безопасности, подлежащих регистрации (аудиту) в соответствии с РСБ.1 с
+* оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов);
-составом и содержанием информации, определенными в соответствии с РСБ.2;
+* определение действий при обнаружении в информационной системе объектов, подвергшихся заражению вредоносными компьютерными программами (вирусами).
-хранение информации о событиях безопасности в течение времени,
-установленного в соответствии с РСБ.1.
-Объем памяти для хранения информации о событиях безопасности
-должен быть рассчитан и выделен с учетом типов событий безопасности,
-подлежащих регистрации в соответствии с РСБ.1; составом и содержанием
-информации о событиях безопасности, подлежащих регистрации, в
-соответствии с РСБ.2, прогнозируемой частоты возникновения подлежащих
-регистрации событий безопасности, срока хранения информации о
-зарегистрированных событиях безопасности в соответствии с РСБ.1.
-Требования к усилению РСБ.3:
+'''Требования к усилению АВЗ.1:'''
-) в информационной системе должно быть обеспечено централизованное
-автоматизированное управление сбором, записью и хранением информации о
+*1) в информационной системе должно обеспечиваться предоставление прав по управлению (администрированию) средствами антивирусной защиты администратору безопасности;
-событиях безопасности;
+*2) в информационной системе должно обеспечиваться централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на элементах информационной системы (серверах, автоматизированных рабочих местах);
-) в информационной системе обеспечивается объединение информации
+*3) оператором должен обеспечиваться запрет использования съемных машинных носителей информации;
-из записей регистрации событий безопасности, полученной от разных
+*4) в информационной системе должно обеспечиваться использование на разных уровнях информационной системы средств антивирусной защиты разных производителей;
-технических средств (устройств), программного обеспечения информационной
+*5) в информационной системе должны обеспечиваться проверка работоспособности, актуальность базы данных признаков компьютерных вирусов и версии программного обеспечения средств антивирусной защиты;
-системы, в единый логический или физический журнал аудита с корреляцией
+*6) в информационной системе должна обеспечиваться проверка объектов файловой системы средством антивирусной защиты до загрузки операционной системы;
-информации по времени для своевременного выявления инцидентов и
+*7) в информационной системе должна обеспечиваться регистрация событий о неуспешном обновлении базы данных признаков вредоносных компьютерных программ (вирусов).
-реагирования на них; 61
-) в информационной системе обеспечивается объединение информации
+'''Содержание базовой меры АВЗ.1:'''
-из записей регистрации событий безопасности, полученной от разных
-технических средств (устройств), программного обеспечения информационной
-системы, в единый логический или физический журнал аудита с корреляцией
-информации по событиям безопасности для своевременного выявления
-инцидентов и реагирования на них в масштабах оператора;
-) в информационной системе обеспечивается хранение записей
-системных журналов и записей о событиях безопасности в обособленном
-хранилище, физически отделенным от технических средств, входящих в состав
-информационной системы.
-Содержание базовой меры РСБ.3:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" |АВЗ.1
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление АВЗ.1
+ |align="center" |
+ |align="center" | 1
+ |align="center" | 1,2
+ |align="center" | 1,2
+ |}
+===АВЗ.2 ОБНОВЛЕНИЕ БАЗЫ ДАННЫХ ПРИЗНАКОВ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ (ВИРУСОВ)===
-Мера защиты
+'''Требования к реализации АВЗ.2:'''
-информации
-Класс защищенности информационной системы
+Оператором должно быть обеспечено обновление базы данных признаков вредоносных компьютерных программ (вирусов).
-3 2 1
-РСБ.3 + + + +
+Обновление базы данных признаков вредоносных компьютерных программ (вирусов) должно предусматривать:
-Усиление РСБ.3 1 1
+* получение уведомлений о необходимости обновлений и непосредственном обновлении базы данных признаков вредоносных компьютерных программ (вирусов);
+* получение из доверенных источников и установка обновлений базы данных признаков вредоносных компьютерных программ (вирусов);
+* контроль целостности обновлений базы данных признаков вредоносных компьютерных программ (вирусов).
+'''Требования к усилению АВЗ.2:'''
+* 1) в информационной системе должно обеспечиваться централизованное управление обновлением базы данных признаков вредоносных компьютерных программ (вирусов);
+* 2) в информационной системе должно обеспечиваться автоматическое обновление базы данных признаков вредоносных компьютерных программ (вирусов) на всех компонентах информационной системы;
+* 3) в информационной системе должен обеспечиваться запрет изменений настроек системы обновления базы данных признаков вредоносных компьютерных программ (вирусов) на автоматизированных рабочих местах и серверах.
-РСБ.4 РЕАГИРОВАНИЕ НА СБОИ ПРИ РЕГИСТРАЦИИ СОБЫТИЙ
+'''Содержание базовой меры АВЗ.2:'''
-БЕЗОПАСНОСТИ, В ТОМ ЧИСЛЕ АППАРАТНЫЕ И ПРОГРАММНЫЕ
-ОШИБКИ, СБОИ В МЕХАНИЗМАХ СБОРА ИНФОРМАЦИИ И
-ДОСТИЖЕНИЕ ПРЕДЕЛА ИЛИ ПЕРЕПОЛНЕНИЯ ОБЪЕМА (ЕМКОСТИ)
-ПАМЯТИ
-Требования к реализации РСБ.4: В информационной системе должно
+{| class="wikitable" width="600" border="1"
-осуществляться реагирование на сбои при регистрации событий безопасности,
+ !width="10%" rowspan="2"|Мера защиты информации
-в том числе аппаратные и программные ошибки, сбои в механизмах сбора
+ !colspan="4" | Класс защищенности информационной системы
-информации и достижение предела или переполнения объема (емкости) памяти.
+ |-
-Реагирование на сбои при регистрации событий безопасности должно
+ !align="center" width="15%"|4
-предусматривать:
+ !align="center" width="15%"|3
-предупреждение (сигнализация, индикация) администраторов о сбоях
+ !align="center" width="15%"|2
-(аппаратных и программных ошибках, сбоях в механизмах сбора информации и
+ !align="center" width="15%"|1
-достижении предела или переполнения объема (емкости) памяти) при
+ |-
-регистрации событий безопасности;
+ !width="40%" |АВЗ.2
-реагирование на сбои при регистрации событий безопасности путем
+ |align="center" | +
-изменения администраторами параметров сбора, записи и хранения
+ |align="center" | +
-информации о событиях безопасности, в том числе отключение записи
+ |align="center" | +
-информации о событиях безопасности от части элементов информационной
+ |align="center" | +
-системы, запись поверх устаревших хранимых записей событий безопасности.
+ |-
+ !Усиление АВЗ.2
+ |align="center" |
+ |align="center" |
+ |align="center" | 1
+ |align="center" | 1
+ |}
+==3.7. ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ (СОВ) ==
-Требования к усилению РСБ.4:
+===СОВ.1 ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ===
-) в информационной системе обеспечивается выдача предупреждения
-администратору при заполнении объема памяти для хранения информации о
-событиях безопасности:
-а) более, чем на 90%;
-б) более, чем на 70%.
-) в информационной системе обеспечивается выдача предупреждения
-администратору в масштабе времени, близком к реальному, при наступлении
-критичных сбоев в механизмах сбора информации, определенных оператором;
-) производительность механизмов регистрации (аудита) трафика должна
-быть рассчитана так, чтобы не оказывать негативного влияния на работу
-информационной системы;
-) в информационной системе обеспечивается запрет обработки
-информации в случае аппаратных или программных ошибок, сбоев в
-механизмах сбора информации или достижения предела или переполнения
-объема (емкости) памяти.
-Содержание базовой меры РСБ.4:
+'''Требования к реализации СОВ.1:'''
-Мера защиты
+Оператором обеспечивается обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней, с использованием систем обнаружения вторжений.
-информации
-Класс защищенности информационной системы
+Применяемые системы обнаружения вторжений должны включать компоненты регистрации событий безопасности (датчики), компоненты анализа событий безопасности и распознавания компьютерных атак (анализаторы) и
-3 2 1
+базу решающих правил, содержащую информацию о характерных признаках компьютерных атак.
-РСБ.4 + + + +
-Усиление РСБ.4 1, 2, 4
+Обнаружение (предотвращение) вторжений должно осуществляться на внешней границе информационной системы (системы обнаружения вторжений уровня сети) и (или) на внутренних узлах (системы обнаружения вторжений
+уровня узла) сегментов информационной системы (автоматизированных рабочих местах, серверах и иных узлах), определяемых оператором.
+Права по управлению (администрированию) системами обнаружения вторжений должны предоставляться только уполномоченным должностным лицам.
+Системы обнаружения вторжений должны обеспечивать реагирование на обнаруженные и распознанные компьютерные атаки с учетом особенностей функционирования информационных систем.
+Применяемые системы обнаружения вторжений для защиты прикладных систем должны осуществлять обнаружение (предотвращение) вторжений, реализуемых на прикладном уровне базовой эталонной модели взаимосвязи открытых систем.
+'''Требования к усилению СОВ.1:'''
+*1) оператором обеспечивается применение систем обнаружения вторжений уровня сети, обеспечивающих сбор и анализ информации об информационных потоках, передаваемых в рамках сегмента (сегментов) информационной системы;
+* 2) в информационной системе обеспечивается централизованное управление (администрирование) компонентами системы обнаружения вторжений, установленными в различных сегментах информационной системы;
+* 3) обнаружение и реагирование (уведомление администратора безопасности, блокирование трафика и иные действия по реагированию) на компьютерные атаки в масштабе времени, близком к реальному;
+* 4) защита информации, собранной и сгенерированной системой обнаружения вторжений, от несанкционированного доступа, модификации и удаления;
+* 5) оператором информационной системы обеспечивается применение систем обнаружения вторжений уровня узла на автоматизированных рабочих местах и серверах информационной системы.
-РСБ.5 МОНИТОРИНГ (ПРОСМОТР, АНАЛИЗ) РЕЗУЛЬТАТОВ
+'''Содержание базовой меры СОВ.1: '''
-РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ И РЕАГИРОВАНИЕ НА НИХ
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | СОВ.1
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление СОВ.1
+ |align="center" |
+ |align="center" |
+ |align="center" | 2
+ |align="center" | 2
+ |}
+===СОВ.2 ОБНОВЛЕНИЕ БАЗЫ РЕШАЮЩИХ ПРАВИЛ===
+'''Требования к реализации СОВ.2''':
+Оператором должно обеспечиваться обновление базы решающих правил системы обнаружения вторжений, применяемой в информационной системе.
+Обновление базы решающих правил системы обнаружения вторжений должно предусматривать:
+*получение уведомлений о необходимости обновлений и непосредственном обновлении базы решающих правил;
+*получение из доверенных источников и установка обновлений базы решающих правил;
+*контроль целостности обновлений базы решающих правил.
+'''Требования к усилению СОВ.2:'''
+*1) в информационной системе должно обеспечиваться централизованное управление обновлением базы решающих правил системы обнаружения вторжений;
+*2) в информационной системе должна обеспечиваться возможность редактирования базы решающих правил (добавление и (или) исключение решающих правил) со стороны уполномоченных должностных лиц (администраторов) для предотвращения наиболее актуальных компьютерных атак и (или) сокращения нагрузки на информационную систему, а также минимизации ложных срабатываний системы обнаружения вторжений;
+*3) оператором информационной системы устанавливается порядок редактирования базы решающих правил. В случае редактирования базы решающих правил запись об этом событии с указанием произведенных изменений фиксируется в соответствующем журнале регистрации событий безопасности.
-Требования к реализации РСБ.5: В организации должен
+'''Содержание базовой меры СОВ.2:'''
-осуществляться мониторинг (просмотр, анализ) результатов регистрации
-событий безопасности и реагирование на них.
-Мониторинг (просмотр и анализ) записей регистрации (аудита) должен
-проводиться для всех событий, подлежащих регистрации в соответствии с
-РСБ.1, и с периодичностью, установленной оператором, и обеспечивающей
-своевременное выявление признаков инцидентов безопасности в
-информационной системе.
-По результатам проведения мониторинга (просмотра и анализа) записей
-регистрации (аудита) должна разрабатываться отчетность с результатами его
-проведения.
-Требования к усилению РСБ.5:
+{| class="wikitable" width="600" border="1"
-) в информационной системе должен обеспечиваться мониторинг
+ !width="10%" rowspan="2"|Мера защиты информации
-(просмотр и анализ) записей регистрации (аудита):
+ !colspan="4" | Класс защищенности информационной системы
-а) периодически, с периодом, определяемым оператором;
+ |-
-б) постоянно.
+ !align="center" width="15%"|4
-) в информационной системе должен обеспечиваться интеграция
+ !align="center" width="15%"|3
-результатов мониторинга (просмотра и анализа) записей регистрации (аудита)
+ !align="center" width="15%"|2
-из разных источников (хранилищ информации о событиях безопасности) и их
+ !align="center" width="15%"|1
-корреляция с целью выявления инцидентов безопасности и реагирования на
+ |-
-них;
+ !width="40%" | СОВ.2
-) в информационной системе обеспечивается интеграция процессов
+ |align="center" |
-мониторинга (просмотра, анализа) результатов регистрации событий
+ |align="center" |
-безопасности с результатами анализа уязвимостей, проводимого в соответствии
+ |align="center" | +
-с АНЗ.1, и результатами обнаружения вторжений, проводимого в соответствии
+ |align="center" | +
-с СОВ.1 с целью усиления возможностей по выявлению признаков инцидентов
+ |-
-безопасности;
+ !Усиление СОВ.2
-) в информационной системе обеспечивается полнотекстовый анализ
+ |align="center" |
-привилегированных команд.
+ |align="center" |
+ |align="center" |
+ |align="center" | 1,2,3
+ |}
+==3.8. КОНТРОЛЬ (АНАЛИЗ) ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ (АНЗ) ==
-Содержание базовой меры РСБ.5:
+===АНЗ.1 ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ===
-Мера защиты
+'''Требования к реализации АНЗ.1:'''
-информации
+Оператором должны осуществляться выявление (поиск), анализ и устранение уязвимостей в информационной системе.
-Класс защищенности информационной системы
-3 2 1
+При выявлении (поиске), анализе и устранении уязвимостей в информационной системе должны проводиться:
-РСБ.5 + + + +
+*выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации,
-Усиление РСБ.5 1а 1б, 2
+правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;
+*разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;
+*анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации;
+*устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств;
+*информирование должностных лиц оператора (пользователей, администраторов, подразделения по защите информации) о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты информации.
+В качестве источников информации об уязвимостях используются опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.
+Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью,
+установленной оператором. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в информационной системе.
+В случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного
+программного обеспечения или микропрограммного обеспечения технических средств необходимо предпринять действия (настройки средств защиты информации, изменение режима и порядка использования информационной
+системы), направленные на устранение возможности указанных выше уязвимостей.
+'''Требования к усилению АНЗ.1:'''
+*1) оператором обеспечивается использование для выявления (поиска) уязвимостей средств анализа (контроля) защищенности (сканеров безопасности), имеющих стандартизованные (унифицированные) в соответствии с национальными стандартами описание и перечни программно-аппаратных платформ, уязвимостей программного обеспечения, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования информационной системы на наличие уязвимостей, оценки последствий уязвимостей, имеющих возможность оперативного обновления базы данных выявляемых уязвимостей;
+*2) оператор должен уточнять перечень сканируемых в информационной системе уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;
+*3) оператором определяется информация об информационной системе, которая может стать известной нарушителям и использована ими для эксплуатации уязвимостей (в том числе уязвимостей «нулевого дня» - уязвимостей, описание которых отсутствует в базах данных разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств), и принимаются меры по снижению (исключению) последствий от эксплуатации нарушителями неустранимых уязвимостей;
+*4) оператором предоставляется доступ только администраторам к функциям выявление (поиск) уязвимостей (предоставление такой возможности только администраторам безопасности);
+*5) оператором применяются автоматизированные средства для сравнения результатов сканирования уязвимостей в разные периоды времени для анализа изменения количества и классов (типов) уязвимостей в информационной системе;
+*6) оператором применяются автоматизированные средства для обнаружения в информационной системе неразрешенного программного обеспечения (компонентов программного обеспечения) и уведомления об этом уполномоченных должностных лиц (администратора безопасности);
+*7) оператором проводится анализ журналов регистрации событий безопасности (журнала аудита) в целях определения, были ли выявленные уязвимости ранее использованы в информационной системе для нарушения
+безопасности информации;
+*8) оператором обеспечивается проведение выявления уязвимостей «нулевого дня», о которых стало известно, но информация о которых не включена в сканеры уязвимостей;
+*9) оператором обеспечивается проведение выявления новых уязвимостей, информация о которых не опубликована в общедоступных источниках;
+) оператором должно осуществляться выявление (поиск) уязвимостей в информационной системе с использованием учетных записей на сканируемых ресурсах;
+) оператором должны осуществляться выявление (поиск) уязвимостей в информационной системе методом подбора паролей (метод «грубой силы») для учетных записей, не блокируемых согласно принятой парольной политике.
-РСБ.6 ГЕНЕРИРОВАНИЕ ВРЕМЕННЫХ МЕТОК И (ИЛИ)
+'''Содержание базовой меры АНЗ.1:'''
-СИНХРОНИЗАЦИЯ СИСТЕМНОГО ВРЕМЕНИ В ИНФОРМАЦИОННОЙ
-СИСТЕМЕ
-Требования к реализации РСБ.6: В информационной системе должно
+{| class="wikitable" width="600" border="1"
-осуществляться генерирование надежных меток времени и (или)
+ !width="10%" rowspan="2"|Мера защиты информации
-синхронизация системного времени.
+ !colspan="4" | Класс защищенности информационной системы
-Получение меток времени, включающих дату и время, используемых при
+ |-
-генерации записей регистрации (аудита) событий безопасности в
+ !align="center" width="15%"|4
-информационной системе достигается посредствам применения внутренних
+ !align="center" width="15%"|3
-системных часов информационной системы.
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | АНЗ.1
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление АНЗ.1
+ |align="center" |
+ |align="center" | 1,4
+ |align="center" | 1,2,4
+ |align="center" | 1,2,4,7
+ |}
-Требования к усилению РСБ.6:
-) в информационной системе должна выполняться синхронизация
-системного времени в информационной системе, в том числе должен быть
-определен источник времени, используемый в качестве эталона, и должна быть 64
-определена периодичность синхронизации системного времени в
+===АНЗ.2 КОНТРОЛЬ УСТАНОВКИ ОБНОВЛЕНИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ===
-информационной системе;
-) в информационной системе должен быть определен доверенный
-источник времени.
-Содержание базовой меры РСБ.6:
+'''Требования к реализации АНЗ.2:'''
-Меры защиты
+Оператором должен осуществляться контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации.
-информации
-Класс защищенности информационной системы
+При контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации, установленного в информационной системе и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений.
-3 2 1
-РСБ.6 + + + +
+Контроль установки обновлений проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации и фиксируется в соответствующих журналах.
-Усиление РСБ.6 1. 2 1, 2
+При контроле установки обновлений осуществляются проверки установки обновлений баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты в соответствии с АВЗ.2, баз решающих правил систем обнаружения вторжений в соответствии с СОВ.2, баз признаков уязвимостей средств анализа защищенности и иных баз данных, необходимых для реализации функций безопасности средств защиты
+информации.
+'''Требования к усилению АНЗ.2:'''
+*1) оператором должна осуществляться проверка корректности функционирования обновлений в тестовой среде с обязательным оформлением результатов проверки в соответствующем журнале.
-РСБ.7 ЗАЩИТА ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ
+'''Содержание базовой меры АНЗ.2:'''
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | АНЗ.2
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление АНЗ.2
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
+===АНЗ.3 КОНТРОЛЬ РАБОТОСПОСОБНОСТИ, ПАРАМЕТРОВ НАСТРОЙКИ И ПРАВИЛЬНОСТИ ФУНКЦИОНИРОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ===
+'''Требования к реализации АНЗ.3:'''
+Оператором должен проводиться контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.
+При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации осуществляется:
+*контроль работоспособности (неотключения) программного обеспечения и средств защиты информации;
+*проверка правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения и средств защиты информации, объем и содержание которой определяется оператором;
+* контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации;
+* восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов.
+Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором в организационно- распорядительных документах по защите информации.
-Требования к реализации РСБ.7: В информационной системе должна
+'''Требования к усилению АНЗ.3:'''
-обеспечиваться защита информации о событиях безопасности.
+*1) в информационной системе должно обеспечиваться регистрация событий и оповещение (сигнализация, индикация) администратора безопасности о событиях, связанных с нарушением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации;
-Защита информации о событиях безопасности (записях регистрации
+*2) оператором в случае обнаружения нарушений работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации должен обеспечиваться перевод
-(аудита)) обеспечивается применением мер защиты информации от
+информационной системы, сегмента или элемента информационной системы в режим ограничения обработки информации и (или) запрет обработки информации в информационной системе, сегменте или элементе информационной системы до устранения нарушений;
-неправомерного доступа, уничтожения или модифицирования, определенных в
+*3) оператором должны использоваться автоматизированные средства, обеспечивающие инвентаризацию параметров настройки программного обеспечения и средств защиты информации и восстановление параметров настройки программного обеспечения и средств защиты информации.
-соответствии с настоящим методическим документом, и в том числе включает
-защиту средств ведения регистрации (аудита) и настроек механизмов
+'''Содержание базовой меры АНЗ.3:'''
-регистрации событий.
+{| class="wikitable" width="600" border="1"
-Доступ к записям аудита и функциям управления механизмами
+ !width="10%" rowspan="2"|Мера защиты информации
-регистрации (аудита) должен предоставляться только уполномоченным
+ !colspan="4" | Класс защищенности информационной системы
-должностным лицам.
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | АНЗ.3
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление АНЗ.3
+ |align="center" |
+ |align="center" |
+ |align="center" | 1
+ |align="center" | 1,2
+ |}
-Требования к усилению РСБ.7:
-) в информационной системе обеспечивается резервное копирование
-записей регистрации (аудита);
-) в информационной системе обеспечивается резервное копирование
-записей регистрации (аудита) на носители однократной записи
-(неперезаписываемые носители информации);
-) в информационной системе для обеспечения целостности информации
-о событиях безопасности должны применяться в соответствии с
-законодательством Российской Федерации криптографические методы;
-) оператор предоставляет доступ к записям регистрации событий
-безопасности (аудита) ограниченному кругу администраторов.
-Содержание базовой меры РСБ.7:
+===АНЗ.4 КОНТРОЛЬ СОСТАВА ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ===
-Мера защиты
+'''Требования к реализации АНЗ.4:'''
-информации
-Класс защищенности информационной системы
+Оператором должен проводиться контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе.
-3 2 1
-РСБ.7 + + + +
+При контроле состава технических средств, программного обеспечения и средств защиты информации осуществляется:
-Усиление РСБ.7 1 1
+*контроль соответствия состава технических средств, программного обеспечения и средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации информационной системы и принятие мер, направленных на устранение выявленных недостатков;
+* контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков;
+* контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков;
+* исключение (восстановление) из состава информационной системы несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.
+Контроль состава технических средств, программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите
+информации.
+'''Требования к усилению АНЗ.4:'''
+* 1) в информационной системе должна обеспечиваться регистрация событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации;
+* 2) оператором должны использоваться автоматизированные средства, обеспечивающие инвентаризацию технических средств, программного обеспечения и средств защиты информации.
-РСБ.8 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ПРОСМОТРА И АНАЛИЗА
+'''Содержание базовой меры АНЗ.4:'''
-ИНФОРМАЦИИ О ДЕЙСТВИЯХ ОТДЕЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ В
-ИНФОРМАЦИОННОЙ СИСТЕМЕ
-Требования к реализации РСБ.8: В информационной системе должна
+{| class="wikitable" width="600" border="1"
-иметься возможность просмотра и анализа информации о действиях отдельных
+ !width="10%" rowspan="2"|Мера защиты информации
-пользователей в информационной системе.
+ !colspan="4" | Класс защищенности информационной системы
-Сведения о действиях отдельных пользователей в информационной
+ |-
-системе должны предоставляться уполномоченным должностным лицам для
+ !align="center" width="15%"|4
-просмотра и анализа с целью расследования причин возникновения инцидентов
+ !align="center" width="15%"|3
-в информационной системе в соответствии с законодательством Российской
+ !align="center" width="15%"|2
-Федерации.
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | АНЗ.4
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление АНЗ.4
+ |align="center" |
+ |align="center" |
+ |align="center" | 1
+ |align="center" | 1,2
+ |}
-Требования к усилению РСБ.8:
-) в информационной системе должна быть обеспечена возможность
-автоматизированной обработки записей регистрации (аудита) событий
-безопасности на основе критериев избирательности.
-Содержание базовой меры РСБ.8:
+===АНЗ.5 КОНТРОЛЬ ПРАВИЛ ГЕНЕРАЦИИ И СМЕНЫ ПАРОЛЕЙ ПОЛЬЗОВАТЕЛЕЙ, ЗАВЕДЕНИЯ И УДАЛЕНИЯ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ, РЕАЛИЗАЦИИ ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПОМ, ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ===
+'''Требования к реализации АНЗ.5:'''
+Оператором должен проводиться контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.
+При контроле правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной
+системе осуществляется:
+* контроль правил генерации и смены паролей пользователей в соответствии с ИАФ.1 и ИАФ.4;
+* контроль заведения и удаления учетных записей пользователей в соответствии с УПД.1;
+* контроль реализации правил разграничения доступом в соответствии с УПД.2;
+* контроль реализации полномочий пользователей в соответствии с УПД.4 и УПД.5;
+* контроль наличия документов, подтверждающих санкционирование изменение учетных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей, предусмотренных организационно-распорядительными документами по защите информации оператора;
+* устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступом, установлением полномочий
+пользователей.
+Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации.
+'''Требования к усилению АНЗ.5:'''
+* 1) в информационной системе должна обеспечиваться регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей;
+* 2) оператором должны использоваться автоматизированные средства, обеспечивающие контроль правил генерации и смены паролей пользователей, учетных записей пользователей, правил разграничения доступом и полномочий пользователей.
+{| class="wikitable" width="600" border="1"
-Мера защиты
+  !width="10%" rowspan="2"|Мера защиты информации
-информации
+  !colspan="4" | Класс защищенности информационной системы
-Класс защищенности информационной системы
+  |-
-3 2 1
+  !align="center" width="15%"|4
-РСБ.8
+  !align="center" width="15%"|3
-Усиление РСБ.8 66
+  !align="center" width="15%"|2
-==3.6. АНТИВИРУСНАЯ ЗАЩИТА (АВЗ)==
-===АВЗ.1 РЕАЛИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ===
-'''Требования к реализации АВЗ.1''': Оператором обеспечивается антивирусная защита информационной системы.
-Реализация антивирусной защиты должна предусматривать:
-* применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через
-съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы);
-* установку, конфигурирование и управление средствами антивирусной защиты;
-* предоставление доступа средствам антивирусной защиты к объектам информационной системы, которые должны быть подвергнуты проверке средством антивирусной защиты;
-* проведение периодических проверок объектов информационной системы (автоматизированных рабочих мест, серверов, других средств вычислительной техники) на наличие вредоносных компьютерных программ (вирусов);
-* проверка в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов;
-* оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов);
-* определение действий при обнаружении в информационной системе объектов, подвергшихся заражению вредоносными компьютерными программами (вирусами).
-'''Требования к усилению АВЗ.1:'''
-*1) в информационной системе должно обеспечиваться предоставление прав по управлению (администрированию) средствами антивирусной защиты администратору безопасности;
-*2) в информационной системе должно обеспечиваться централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на элементах информационной системы (серверах, автоматизированных рабочих местах);
-*3) оператором должен обеспечиваться запрет использования съемных машинных носителей информации;
-*4) в информационной системе должно обеспечиваться использование на разных уровнях информационной системы средств антивирусной защиты разных производителей;
-*5) в информационной системе должны обеспечиваться проверка работоспособности, актуальность базы данных признаков компьютерных вирусов и версии программного обеспечения средств антивирусной защиты;
-*6) в информационной системе должна обеспечиваться проверка объектов файловой системы средством антивирусной защиты до загрузки операционной системы;
-*7) в информационной системе должна обеспечиваться регистрация событий о неуспешном обновлении базы данных признаков вредоносных компьютерных программ (вирусов).
-'''Содержание базовой меры АВЗ.1:'''
-{| class="wikitable" width="800" border="1"
-  !width="10%" rowspan="2"|Мера защиты информации
-  !colspan="4" | Класс защищенности информационной системы
-  |-
-  !align="center" width="15%"|4
-  !align="center" width="15%"|3
-  !align="center" width="15%"|2
   !align="center" width="15%"|1
   |-
-  !АВЗ.1
+  !width="40%" | АНЗ.5
-  |align="center" | +
+  |align="center" |
   |align="center" | +
   |align="center" | +
   |align="center" | +
   |-
-  !Усиление АВЗ.1
+  !Усиление АНЗ.5
+ |align="center" |
   |align="center" |
   |align="center" | 1
-  |align="center" | 1,2
+  |align="center" | 1
- |align="center" | 1,2
   |}
+==3.9. ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ИНФОРМАЦИИ (ОЦЛ) ==
-===АВЗ.2 ОБНОВЛЕНИЕ БАЗЫ ДАННЫХ ПРИЗНАКОВ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ (ВИРУСОВ)===
+ОЦЛ.1 КОНТРОЛЬ ЦЕЛОСТНОСТИ ПРОГРАММНОГО
+ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ
+ЗАЩИТЫ ИНФОРМАЦИИ
-'''Требования к реализации АВЗ.2:''' Оператором должно быть обеспечено обновление базы данных признаков вредоносных компьютерных программ (вирусов).
+Требования к реализации ОЦЛ.1: В информационной системе должен
-Обновление базы данных признаков вредоносных компьютерных программ (вирусов) должно предусматривать:
+осуществляться контроль целостности программного обеспечения, включая
-* получение уведомлений о необходимости обновлений и непосредственном обновлении базы данных признаков вредоносных компьютерных программ (вирусов);
+программное обеспечение средств защиты информации.
-* получение из доверенных источников и установка обновлений базы данных признаков вредоносных компьютерных программ (вирусов);
+Контроль целостности программного обеспечения, включая
-* контроль целостности обновлений базы данных признаков вредоносных компьютерных программ (вирусов).
+программного обеспечения средств защиты информации, должен
+предусматривать:
+контроль целостности программного обеспечения средств защиты
+информации, включая их обновления, по наличию имен (идентификаторов) и
+(или) по контрольным суммам компонентов средств защиты информации в
+процессе загрузки и (или) динамически в процессе работы информационной
+системы;
+контроль целостности компонентов программного обеспечения (за
+исключением средств защиты информации), определяемого оператором исходя
+из возможности реализации угроз безопасности информации, по наличию имен
+(идентификаторов) компонентов программного обеспечения и (или) по
+контрольным суммам в процессе загрузки и (или) динамически в процессе
+работы информационной системы;
+контроль применения средств разработки и отладки программ в составе
+программного обеспечения информационной системы;
+тестирование с периодичностью установленной оператором функций
+безопасности средств защиты информации, в том числе с помощью тест-
+программ, имитирующих попытки несанкционированного доступа, и (или)
+специальных программных средств, в соответствии с АНЗ.1 и АНЗ.2;
+обеспечение физической защиты технических средств информационной
+системы в соответствии с ЗТС.2 и ЗТС.3.
+В случае если функциональные возможности информационной системы
+должны предусматривать применение в составе ее программного обеспечения
+средств разработки и отладки программ, оператором обеспечивается
+выполнение процедур контроля целостности программного обеспечения после
+завершения каждого процесса функционирования средств разработки и отладки
+программ.
-'''Требования к усилению АВЗ.2:'''
+Требования к усилению ОЦЛ.1:
-* 1) в информационной системе должно обеспечиваться централизованное управление обновлением базы данных признаков вредоносных компьютерных программ (вирусов);
+) в информационной системе контроль целостности средств защиты
-* 2) в информационной системе должно обеспечиваться автоматическое обновление базы данных признаков вредоносных компьютерных программ (вирусов) на всех компонентах информационной системы;
+информации должен осуществляться по контрольным суммам всех
-* 3) в информационной системе должен обеспечиваться запрет изменений настроек системы обновления базы данных признаков вредоносных компьютерных программ (вирусов) на автоматизированных рабочих местах и
+компонентов средств защиты информации, как в процессе загрузки, так и
-серверах.
+динамически в процессе работы системы; 81
+) в информационной системе должен обеспечиваться контроль
+целостности средств защиты информации с использованием
+криптографических методов в соответствии с законодательством Российской
+Федерации, всех компонентов средств защиты информации, как в процессе
+загрузки, так и динамически в процессе работы системы;
+) оператором исключается возможность использования средств
+разработки и отладки программ во время обработки и (или) хранения
+информации в целях обеспечения целостности программной среды;
+) оператором обеспечивается выделение рабочих мест с установленными
+средствами разработки и отладки программ в отдельный сегмент (тестовую
+среду);
+) оператором должно проводиться периодическое тестирование всех
+функций средств защиты информации, в том числе с помощью специальных
+программных средств, не реже одного раза в квартал;
+) в информационной системе должна обеспечиваться блокировка запуска
+программного обеспечения и (или) блокировка сегмента (компонента)
+информационной системы (автоматизированного рабочего места, сервера) в
+случае обнаружения фактов нарушения целостности.
+Содержание базовой меры ОЦЛ.1:
+Мера защиты
+информации
+Класс защищенности информационной системы
+3 2 1
+ОЦЛ.1 + +
+Усиление ОЦЛ.1 1, 3, 5 1, 3, 5, 6
-'''Содержание базовой меры АВЗ.2:'''
-{| class="wikitable" width="800" border="1"
+ОЦЛ.2 КОНТРОЛЬ ЦЕЛОСТНОСТИ ИНФОРМАЦИИ,
- !width="10%" rowspan="2"|Мера защиты информации
+СОДЕРЖАЩЕЙСЯ В БАЗАХ ДАННЫХ ИНФОРМАЦИОННОЙ СИСТЕМЫ
- !colspan="4" | Класс защищенности информационной системы
- |-
- !align="center" width="15%"|4
- !align="center" width="15%"|3
- !align="center" width="15%"|2
- !align="center" width="15%"|1
- |-
- !АВЗ.2
- |align="center" | +
- |align="center" | +
- |align="center" | +
- |align="center" | +
- |-
- !Усиление АВЗ.2
- |align="center" |
- |align="center" |
- |align="center" | 1
- |align="center" | 1
- |}
-==3.7. ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ (СОВ) ==
-СОВ.1 ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ
+Требования к реализации ОЦЛ.2: В информационной системе должен
+осуществляться контроль целостности информации, содержащейся в базах
+данных информационной системы.
+Контроль целостности информации, содержащейся в базах данных
+информационной системы, должен предусматривать:
+контроль целостности с периодичностью установленной оператором
+структуры базы данных по наличию имен (идентификаторов) и (или) по
+контрольным суммам программных компонент базы данных в процессе
+загрузки и (или) динамически в процессе работы информационной системы;
+контроль целостности с периодичностью установленной оператором
+объектов баз данных, определяемых оператором, по контрольным суммам и
+(или) с использованием криптографических методов в соответствии с 82
-Требования к реализации СОВ.1: Оператором обеспечивается
+законодательством Российской Федерации в процессе загрузки и (или)
-обнаружение (предотвращение) вторжений (компьютерных атак),
+динамически в процессе работы информационной системы;
-направленных на преднамеренный несанкционированный доступ к
+обеспечение физической защиты технических средств информационной
-информации, специальные воздействия на информацию (носители
+системы, на которых установлена база данных, в соответствии с ЗТС.2 и ЗТС.3.
-информации) в целях ее добывания, уничтожения, искажения и блокирования
-доступа к ней, с использованием систем обнаружения вторжений.
-Применяемые системы обнаружения вторжений должны включать
-компоненты регистрации событий безопасности (датчики), компоненты анализа
-событий безопасности и распознавания компьютерных атак (анализаторы) и
-базу решающих правил, содержащую информацию о характерных признаках
-компьютерных атак.
-Обнаружение (предотвращение) вторжений должно осуществляться на
-внешней границе информационной системы (системы обнаружения вторжений
-уровня сети) и (или) на внутренних узлах (системы обнаружения вторжений
-уровня узла) сегментов информационной системы (автоматизированных
-рабочих местах, серверах и иных узлах), определяемых оператором.
-Права по управлению (администрированию) системами обнаружения
-вторжений должны предоставляться только уполномоченным должностным
-лицам.
-Системы обнаружения вторжений должны обеспечивать реагирование на
-обнаруженные и распознанные компьютерные атаки с учетом особенностей
-функционирования информационных систем.
-Применяемые системы обнаружения вторжений для защиты прикладных
-систем должны осуществлять обнаружение (предотвращение) вторжений,
-реализуемых на прикладном уровне базовой эталонной модели взаимосвязи
-открытых систем.
-Требования к усилению СОВ.1:
+Требования к усилению ОЦЛ.2:
-) оператором обеспечивается применение систем обнаружения
+) в информационной системе должны выполняться процедуры контроля
-вторжений уровня сети, обеспечивающих сбор и анализ информации об
+целостности информации, содержащейся в базе данных, перед каждым
-информационных потоках, передаваемых в рамках сегмента (сегментов)
+запуском программного обеспечения доступа к базе данных;
-информационной системы;
+) в информационной системе должен обеспечиваться контроль
-) в информационной системе обеспечивается централизованное
+целостности исполняемых модулей хранящихся в базах данных (например,
-управление (администрирование) компонентами системы обнаружения
+хранимые процедуры, триггеры);
-вторжений, установленными в различных сегментах информационной системы;
+) в информационной системе должна обеспечиваться блокировка запуска
-) обнаружение и реагирование (уведомление администратора
+системы управления базы данных и (или) блокировка сегмента (компонента)
-безопасности, блокирование трафика и иные действия по реагированию) на
+информационной системы (автоматизированного рабочего места, сервера) в
-компьютерные атаки в масштабе времени, близком к реальному;
+случае обнаружения фактов нарушения целостности;
-) защита информации, собранной и сгенерированной системой
+) контроль целостности структуры базы данных и контроль целостности
-обнаружения вторжений, от несанкционированного доступа, модификации и
+информации, хранящейся в базе данных, с применением специальных
-удаления; 70
+программных автоматизированных средств контроля целостности.
-) оператором информационной системы обеспечивается применение
-систем обнаружения вторжений уровня узла на автоматизированных рабочих
-местах и серверах информационной системы.
-Содержание базовой меры СОВ.1:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-СОВ.1 + +
-Усиление СОВ.1 2 2
+Содержание базовой меры ОЦЛ.2:
-СОВ.2 ОБНОВЛЕНИЕ БАЗЫ РЕШАЮЩИХ ПРАВИЛ
-Требования к реализации СОВ.2: Оператором должно обеспечиваться
-обновление базы решающих правил системы обнаружения вторжений,
-применяемой в информационной системе.
-Обновление базы решающих правил системы обнаружения вторжений
-должно предусматривать:
-получение уведомлений о необходимости обновлений и
-непосредственном обновлении базы решающих правил;
-получение из доверенных источников и установка обновлений базы
-решающих правил;
-контроль целостности обновлений базы решающих правил.
-Требования к усилению СОВ.2:
-) в информационной системе должно обеспечиваться централизованное
-управление обновлением базы решающих правил системы обнаружения
-вторжений;
-) в информационной системе должна обеспечиваться возможность
-редактирования базы решающих правил (добавление и (или) исключение
-решающих правил) со стороны уполномоченных должностных лиц
-(администраторов) для предотвращения наиболее актуальных компьютерных
-атак и (или) сокращения нагрузки на информационную систему, а также
-минимизации ложных срабатываний системы обнаружения вторжений;
-) оператором информационной системы устанавливается порядок
-редактирования базы решающих правил. В случае редактирования базы
-решающих правил запись об этом событии с указанием произведенных
-изменений фиксируется в соответствующем журнале регистрации событий
-безопасности.
-Содержание базовой меры СОВ.2:
 Мера защиты
@@ Строка 2984: / Строка 2424: @@
 Класс защищенности информационной системы
 3 2 1
-СОВ.2
+ОЦЛ.2
- + +
-Усиление СОВ.2
-, 2, 3
+Усиление ОЦЛ.2
-==3.8. КОНТРОЛЬ (АНАЛИЗ) ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ (АНЗ) ==
-АНЗ.1 ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ
+ОЦЛ.3 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ
-ИНФОРМАЦИОННОЙ СИСТЕМЫ
+ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ
+ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ПРИ
+ВОЗНИКНОВЕНИИ НЕШТАТНЫХ СИТУАЦИЙ
-Требования к реализации АНЗ.1: Оператором должны осуществляться
+Требования к реализации ОЦЛ.3: Оператором должна быть
-выявление (поиск), анализ и устранение уязвимостей в информационной
+предусмотрена возможность восстановления программного обеспечения,
-системе.
+включая программное обеспечение средств защиты информации, при
-При выявлении (поиске), анализе и устранении уязвимостей в
+возникновении нештатных ситуаций.
-информационной системе должны проводиться:
+Для обеспечения возможности восстановления программного
-выявление (поиск) уязвимостей, связанных с ошибками кода в
+обеспечения в информационной системе должны быть приняты
-программном (микропрограммном) обеспечении (общесистемном, прикладном,
+соответствующие планы по действиям персонала (администраторов
-специальном), а также программном обеспечении средств защиты информации,
+безопасности, пользователей) при возникновении нештатных ситуаций.
-правильностью установки и настройки средств защиты информации,
+Возможность восстановления программного обеспечения, включая
-технических средств и программного обеспечения, а также корректностью
+программное обеспечение средств защиты информации, при возникновении
-работы средств защиты информации при их взаимодействии с техническими
+нештатных ситуаций должна предусматривать: 83
-средствами и программным обеспечением;
-разработка по результатам выявления (поиска) уязвимостей отчетов с
-описанием выявленных уязвимостей и планом мероприятий по их устранению;
-анализ отчетов с результатами поиска уязвимостей и оценки
-достаточности реализованных мер защиты информации;
-устранение выявленных уязвимостей, в том числе путем установки
-обновлений программного обеспечения средств защиты информации,
-общесистемного программного обеспечения, прикладного программного
-обеспечения или микропрограммного обеспечения технических средств;
-информирование должностных лиц оператора (пользователей,
-администраторов, подразделения по защите информации) о результатах поиска
-уязвимостей и оценки достаточности реализованных мер защиты информации.
-В качестве источников информации об уязвимостях используются
-опубликованные данные разработчиков средств защиты информации,
-общесистемного, прикладного и специального программного обеспечения,
-технических средств, а также другие базы данных уязвимостей.
-Выявление (поиск), анализ и устранение уязвимостей должны
-проводиться на этапах создания и эксплуатации информационной системы. На
-этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью,
-установленной оператором. При этом в обязательном порядке для критических
-уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в
-общедоступных источниках информации о новых уязвимостях в средствах
-защиты информации, технических средствах и программном обеспечении,
-применяемом в информационной системе.
-В случае невозможности устранения выявленных уязвимостей путем
-установки обновлений программного обеспечения средств защиты
-информации, общесистемного программного обеспечения, прикладного
-программного обеспечения или микропрограммного обеспечения технических 73
-средств необходимо предпринять действия (настройки средств защиты
+восстановление программного обеспечения, включая программное
-информации, изменение режима и порядка использования информационной
+обеспечение средств защиты информации, из резервных копий (дистрибутивов)
-системы), направленные на устранение возможности указанных выше
+программного обеспечения;
-уязвимостей.
+восстановление и проверка работоспособности системы защиты
+информации, обеспечивающие необходимый уровень защищенности
-Требования к усилению АНЗ.1:
+информации;
-) оператором обеспечивается использование для выявления (поиска)
+возврат информационной системы в начальное состояние (до
-уязвимостей средств анализа (контроля) защищенности (сканеров
+возникновения нештатной ситуации), обеспечивающее ее штатное
-безопасности), имеющих стандартизованные (унифицированные) в
+функционирование, или восстановление отдельных функциональных
-соответствии с национальными стандартами описание и перечни программно-
+возможностей информационной системы, определенных оператором,
-аппаратных платформ, уязвимостей программного обеспечения, ошибочных
+позволяющих решать задачи по обработке информации.
-конфигураций, правил описания уязвимостей, проверочных списков, процедур
+Оператором применяются компенсирующие меры защиты информации в
-тестирования и языка тестирования информационной системы на наличие
+случаях, когда восстановление работоспособности системы защиты
-уязвимостей, оценки последствий уязвимостей, имеющих возможность
+информации невозможно.
-оперативного обновления базы данных выявляемых уязвимостей;
-) оператор должен уточнять перечень сканируемых в информационной
-системе уязвимостей с установленной им периодичностью, а также после
-появления информации о новых уязвимостях;
-) оператором определяется информация об информационной системе,
-которая может стать известной нарушителям и использована ими для
-эксплуатации уязвимостей (в том числе уязвимостей «нулевого дня» -
-уязвимостей, описание которых отсутствует в базах данных разработчиков
-средств защиты информации, общесистемного, прикладного и специального
-программного обеспечения, технических средств), и принимаются меры по
-снижению (исключению) последствий от эксплуатации нарушителями
-неустранимых уязвимостей;
-) оператором предоставляется доступ только администраторам к
-функциям выявление (поиск) уязвимостей (предоставление такой возможности
-только администраторам безопасности);
-) оператором применяются автоматизированные средства для сравнения
-результатов сканирования уязвимостей в разные периоды времени для анализа
-изменения количества и классов (типов) уязвимостей в информационной
-системе;
-) оператором применяются автоматизированные средства для
-обнаружения в информационной системе неразрешенного программного
-обеспечения (компонентов программного обеспечения) и уведомления об этом
-уполномоченных должностных лиц (администратора безопасности);
-) оператором проводится анализ журналов регистрации событий
-безопасности (журнала аудита) в целях определения, были ли выявленные
-уязвимости ранее использованы в информационной системе для нарушения
-безопасности информации;
-) оператором обеспечивается проведение выявления уязвимостей
-«нулевого дня», о которых стало известно, но информация о которых не
-включена в сканеры уязвимостей; 74
-) оператором обеспечивается проведение выявления новых уязвимостей,
+Требования к усилению ОЦЛ.3:
-информация о которых не опубликована в общедоступных источниках;
+) оператором обеспечивается восстановление отдельных
-) оператором должно осуществляться выявление (поиск) уязвимостей в
+функциональных возможностей информационной системы с применением
-информационной системе с использованием учетных записей на сканируемых
+резервированного программного обеспечения зеркальной информационной
-ресурсах;
+системы (сегмента информационной системы, технического средства,
-) оператором должны осуществляться выявление (поиск) уязвимостей в
+устройства) в соответствии с ОДТ.2 и ОДТ.4.
-информационной системе методом подбора паролей (метод «грубой силы») для
-учетных записей, не блокируемых согласно принятой парольной политике.
-Содержание базовой меры АНЗ.1:
+Содержание базовой меры ОЦЛ.3:
 Мера защиты
@@ Строка 3097: / Строка 2475: @@
 Класс защищенности информационной системы
 3 2 1
-АНЗ.1 + + +
+ОЦЛ.3 + + + +
-Усиление АНЗ.1 1, 4 1, 2, 4 1, 2, 4, 7
+Усиление ОЦЛ.3 1
-АНЗ.2 КОНТРОЛЬ УСТАНОВКИ ОБНОВЛЕНИЙ ПРОГРАММНОГО
+ОЦЛ.4 ОБНАРУЖЕНИЕ И РЕАГИРОВАНИЕ НА ПОСТУПЛЕНИЕ В
-ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ
+ИНФОРМАЦИОННУЮ СИСТЕМУ НЕЗАПРАШИВАЕМЫХ ЭЛЕКТРОННЫХ
-ЗАЩИТЫ ИНФОРМАЦИИ
+СООБЩЕНИЙ (ПИСЕМ, ДОКУМЕНТОВ) И ИНОЙ ИНФОРМАЦИИ, НЕ
+ОТНОСЯЩИХСЯ К ФУНКЦИОНИРОВАНИЮ ИНФОРМАЦИОННОЙ
+СИСТЕМЫ (ЗАЩИТА ОТ СПАМА)
-Требования к реализации АНЗ.2: Оператором должен осуществляться
+Требования к реализации ОЦЛ.4: Оператором обеспечивается
-контроль установки обновлений программного обеспечения, включая
+обнаружение и реагирование на поступление незапрашиваемых электронных
-программное обеспечение средств защиты информации.
+сообщений (писем, документов) и иной информации, не относящихся к
-При контроле установки обновлений осуществляются проверки
+функционированию информационной системы (защита от спама).
-соответствия версий общесистемного, прикладного и специального
+Защита от спама реализуется на точках входа в информационную систему
-программного (микропрограммного) обеспечения, включая программное
+(выхода) информационных потоков (межсетевые экраны, почтовые серверы,
-обеспечение средств защиты информации, установленного в информационной
+Web-серверы, прокси-серверы и серверы удаленного доступа), а также на 84
-системе и выпущенного разработчиком, а также наличие отметок в
-эксплуатационной документации (формуляр или паспорт) об установке
-(применении) обновлений.
-Контроль установки обновлений проводится с периодичностью,
-установленной оператором в организационно-распорядительных документах по
-защите информации и фиксируется в соответствующих журналах.
-При контроле установки обновлений осуществляются проверки
-установки обновлений баз данных признаков вредоносных компьютерных
-программ (вирусов) средств антивирусной защиты в соответствии с АВЗ.2, баз
-решающих правил систем обнаружения вторжений в соответствии с СОВ.2, баз
-признаков уязвимостей средств анализа защищенности и иных баз данных,
-необходимых для реализации функций безопасности средств защиты
-информации.
-Требования к усилению АНЗ.2:
+автоматизированных рабочих местах, серверах и (или) мобильных технических
-) оператором должна осуществляться проверка корректности
+средствах, подключенных к сетям связи общего пользования, для обнаружения
-функционирования обновлений в тестовой среде с обязательным оформлением
+и реагирования на поступление по электронной почте незапрашиваемых
-результатов проверки в соответствующем журнале.
+электронных сообщений (писем, документов) или в приложениях к
+электронным письмам.
-Содержание базовой меры АНЗ.2:
+Защита от спама обеспечивается применением специализированных
+средств защиты, реализующих следующие механизмы защиты:
-Мера защиты
+фильтрация по содержимому электронных сообщений (писем,
-информации
+документов) с использованием критериев, позволяющих относить сообщения к
-Класс защищенности информационной системы
+спаму сигнатурным и (или) эвристическим методами;
-3 2 1
+фильтрация на основе информации об отправителе электронного
-АНЗ.2 + + + +
+сообщения (с использованием «черных» списков (запрещенные отправители) и
-Усиление АНЗ.2
+(или) «белых» списков (разрешенные отправители).
+Оператором должно осуществляться обновление базы «черных»
+(«белых») списков и контроль целостности базы «черных» («белых») списков.
+Требования к усилению ОЦЛ.4:
+) оператором обеспечивается централизованное управление средствами
+защиты от спама;
+) фильтрация на основе информации об отправителе электронного
+сообщения с использованием эвристических методов (например, «серые»
+списки серверов электронной почты, распознавание автоматически
+генерируемых имен отправителей и другие);
+) аутентификация отправителей электронных сообщений в соответствии
+с ИАФ.1, ИАФ.6, ИАФ.7;
+) аутентификация серверов электронной почты в соответствии с ИАФ.2,
+ИАФ.7.
-АНЗ.3 КОНТРОЛЬ РАБОТОСПОСОБНОСТИ, ПАРАМЕТРОВ
+Содержание базовой меры ОЦЛ.4:
-НАСТРОЙКИ И ПРАВИЛЬНОСТИ ФУНКЦИОНИРОВАНИЯ
-ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
-Требования к реализации АНЗ.3: Оператором должен проводиться
-контроль работоспособности, параметров настройки и правильности
-функционирования программного обеспечения и средств защиты информации.
-При контроле работоспособности, параметров настройки и правильности
-функционирования программного обеспечения и средств защиты информации
-осуществляется:
-контроль работоспособности (неотключения) программного обеспечения
-и средств защиты информации;
-проверка правильности функционирования (тестирование на тестовых
-данных, приводящих к известному результату) программного обеспечения и
-средств защиты информации, объем и содержание которой определяется
-оператором;
-контроль соответствия настроек программного обеспечения и средств
-защиты информации параметрам настройки, приведенным в эксплуатационной
-документации на систему защиты информации и средства защиты информации;
-восстановление работоспособности (правильности функционирования) и
-параметров настройки программного обеспечения и средств защиты
-информации (при необходимости), в том числе с использованием резервных
-копий и (или) дистрибутивов.
-Контроль работоспособности, параметров настройки и правильности
-функционирования программного обеспечения и средств защиты информации
-проводится с периодичностью, установленной оператором в организационно-
-распорядительных документах по защите информации.
-Требования к усилению АНЗ.3:
-) в информационной системе должно обеспечиваться регистрация
-событий и оповещение (сигнализация, индикация) администратора
-безопасности о событиях, связанных с нарушением работоспособности
-(правильности функционирования) и параметров настройки программного
-обеспечения и средств защиты информации;
-) оператором в случае обнаружения нарушений работоспособности
-(правильности функционирования) и параметров настройки программного
-обеспечения и средств защиты информации должен обеспечиваться перевод
-информационной системы, сегмента или элемента информационной системы в
-режим ограничения обработки информации и (или) запрет обработки
-информации в информационной системе, сегменте или элементе
-информационной системы до устранения нарушений;
-) оператором должны использоваться автоматизированные средства,
-обеспечивающие инвентаризацию параметров настройки программного
-обеспечения и средств защиты информации и восстановление параметров
-настройки программного обеспечения и средств защиты информации.
-Содержание базовой меры АНЗ.3:
 Мера защиты
@@ Строка 3196: / Строка 2527: @@
 Класс защищенности информационной системы
 3 2 1
-АНЗ.3 + + +
+ОЦЛ.4 + +
-Усиление АНЗ.3 1 1, 2
+Усиление ОЦЛ.4
-АНЗ.4 КОНТРОЛЬ СОСТАВА ТЕХНИЧЕСКИХ СРЕДСТВ,
+ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ,
-ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
+ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
+(КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА
+ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ
+ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ
+СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ
+НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ
+СИСТЕМЫ
-Требования к реализации АНЗ.4: Оператором должен проводиться
+Требования к реализации ОЦЛ.5: В информационной системе должен
-контроль состава технических средств, программного обеспечения и средств
+осуществляться контроль содержания информации, передаваемой из
-защиты информации, применяемых в информационной системе.
+информационной системы (контейнерный, основанный на свойствах объекта
-При контроле состава технических средств, программного обеспечения и
+доступа, и контентный, основанный на поиске запрещенной к передаче
-средств защиты информации осуществляется:
+информации с использованием сигнатур, масок и иных методов), и исключение
-контроль соответствия состава технических средств, программного
+неправомерной передачи информации из информационной системы.
-обеспечения и средств защиты информации приведенному в эксплуатационной
+Контроль содержания информации, передаваемой из информационной
-документации с целью поддержания актуальной (установленной в соответствии
+системы, должен предусматривать:
-с эксплуатационной документацией) конфигурации информационной системы
+выявление фактов неправомерной передачи защищаемой информации из
-и принятие мер, направленных на устранение выявленных недостатков;
+информационной системы через сети связи общего пользования и реагирование
-контроль состава технических средств, программного обеспечения и
+на них;
-средств защиты информации на соответствие сведениям действующей 77
+выявление фактов неправомерной записи защищаемой информации на
+неучтенные съемные машинные носители информации и реагирование на них;
-(актуализированной) эксплуатационной документации и принятие мер,
+выявление фактов неправомерного вывода на печать документов,
-направленных на устранение выявленных недостатков;
+содержащих защищаемую информацию и реагирование на них;
-контроль выполнения условий и сроков действия сертификатов
+выявление фактов неправомерного копирования защищаемой
-соответствия на средства защиты информации и принятие мер, направленных
+информации в прикладное программное обеспечение из буфера обмена и
-на устранение выявленных недостатков;
+реагирование на них;
-исключение (восстановление) из состава информационной системы
+контроль хранения защищаемой информации на серверах и
-несанкционированно установленных (удаленных) технических средств,
+автоматизированных рабочих местах;
-программного обеспечения и средств защиты информации.
+выявление фактов хранения информации на общих сетевых ресурсах
-Контроль состава технических средств, программного обеспечения и
+(общие папки, системы документооборота, базы данных почтовые архивы и
-средств защиты информации проводится с периодичностью, установленной
+иные ресурсы).
-оператором в организационно-распорядительных документах по защите
+Контроль содержания информации, передаваемой из информационной
-информации.
+системы, осуществляется по цифровым отпечаткам информации, по
+регулярным выражениям и (или) по атрибутам безопасности (меткам
+безопасности) файлов.
+Требования к усилению ОЦЛ.5:
+) в информационной системе должно осуществляться хранение всей
+передаваемой из информационной системы информации и (или) информации с
+недопустимым к передаче из информационной системы содержанием, в
+течение времени, определяемого оператором;
+) в информационной системе должна осуществляться блокировка
+передачи из информационной системы информации с недопустимым
+содержанием. 86
-Требования к усилению АНЗ.4:
-) в информационной системе должна обеспечиваться регистрация
-событий безопасности, связанных с изменением состава технических средств,
-программного обеспечения и средств защиты информации;
-) оператором должны использоваться автоматизированные средства,
-обеспечивающие инвентаризацию технических средств, программного
-обеспечения и средств защиты информации.
-Содержание базовой меры АНЗ.4:
+Содержание базовой меры ОЦЛ.5:
 Мера защиты
@@ Строка 3243: / Строка 2585: @@
 Класс защищенности информационной системы
 3 2 1
-АНЗ.4 + + +
+ОЦЛ.5
-Усиление АНЗ.4 1 1, 2
-АНЗ.5 КОНТРОЛЬ ПРАВИЛ ГЕНЕРАЦИИ И СМЕНЫ ПАРОЛЕЙ
+Усиление ОЦЛ.5
-ПОЛЬЗОВАТЕЛЕЙ, ЗАВЕДЕНИЯ И УДАЛЕНИЯ УЧЕТНЫХ ЗАПИСЕЙ
-ПОЛЬЗОВАТЕЛЕЙ, РЕАЛИЗАЦИИ ПРАВИЛ РАЗГРАНИЧЕНИЯ
-ДОСТУПОМ, ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННОЙ
-СИСТЕМЕ
-Требования к реализации АНЗ.5: Оператором должен проводиться
-контроль правил генерации и смены паролей пользователей, заведения и
-удаления учетных записей пользователей, реализации правил разграничения
-доступом, полномочий пользователей в информационной системе.
-При контроле правил генерации и смены паролей пользователей,
-заведения и удаления учетных записей пользователей, реализации правил 78
-разграничения доступом, полномочий пользователей в информационной
-системе осуществляется:
-контроль правил генерации и смены паролей пользователей в
-соответствии с ИАФ.1 и ИАФ.4;
-контроль заведения и удаления учетных записей пользователей в
-соответствии с УПД.1;
-контроль реализации правил разграничения доступом в соответствии с
-УПД.2;
-контроль реализации полномочий пользователей в соответствии с УПД.4
-и УПД.5;
-контроль наличия документов, подтверждающих санкционирование
-изменение учетных записей пользователей, их параметров, правил
-разграничения доступом и полномочий пользователей, предусмотренных
-организационно-распорядительными документами по защите информации
-оператора;
-устранение нарушений, связанных с генерацией и сменой паролей
-пользователей, заведением и удалением учетных записей пользователей,
-реализацией правил разграничения доступом, установлением полномочий
-пользователей.
-Контроль правил генерации и смены паролей пользователей, заведения и
-удаления учетных записей пользователей, реализации правил разграничения
-доступом, полномочий пользователей в информационной системе проводится с
-периодичностью, установленной оператором в организационно-
-распорядительных документах по защите информации.
-Требования к усилению АНЗ.5:
-) в информационной системе должна обеспечиваться регистрация
-событий, связанных со сменой паролей пользователей, заведением и удалением
-учетных записей пользователей, изменением правил разграничения доступом и
-полномочий пользователей;
-) оператором должны использоваться автоматизированные средства,
-обеспечивающие контроль правил генерации и смены паролей пользователей,
-учетных записей пользователей, правил разграничения доступом и полномочий
-пользователей.
+ОЦЛ.6 ОГРАНИЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЕЙ ПО ВВОДУ
+ИНФОРМАЦИИ В ИНФОРМАЦИОННУЮ СИСТЕМУ
+Требования к реализации ОЦЛ.6: В информационной системе должно
+осуществляться ограничение прав пользователей по вводу информации в
+информационную систему.
+Ограничение прав пользователей по вводу информации предусматривает
+ограничение по вводу в определенные типы объектов доступа (объекты
+файловой системы, объекты баз данных, объекты прикладного и специального
+программного обеспечения) информации исходя из задач и полномочий,
+решаемых пользователем в информационной системе.
+Ограничению прав пользователей по вводу информации в
+информационную систему должны реализовываться в соответствии с УПД.4 и
+УПД.5.
+Требования к усилению ОЦЛ.6:
+) в информационной системе обеспечивается исключение возможности
+ввода пользователями информации в информационную систему, вследствие
+реализации ограничительных интерфейсов по вводу информации только через
+специальные формы прикладного программного обеспечения.
-Содержание базовой меры АНЗ.5:
+Содержание базовой меры ОЦЛ.6:
 Мера защиты
@@ Строка 3304: / Строка 2620: @@
 Класс защищенности информационной системы
 3 2 1
-АНЗ.5 + + +
+ОЦЛ.6
-Усиление АНЗ.5 1 1
+ +
+Усиление ОЦЛ.6
-==3.9. ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ИНФОРМАЦИИ (ОЦЛ) ==
-ОЦЛ.1 КОНТРОЛЬ ЦЕЛОСТНОСТИ ПРОГРАММНОГО
+ОЦЛ.7 КОНТРОЛЬ ТОЧНОСТИ, ПОЛНОТЫ И ПРАВИЛЬНОСТИ
-ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ
+ДАННЫХ, ВВОДИМЫХ В ИНФОРМАЦИОННУЮ СИСТЕМУ
-ЗАЩИТЫ ИНФОРМАЦИИ
-Требования к реализации ОЦЛ.1: В информационной системе должен
+Требования к реализации ОЦЛ.7:В информационной системе должен
-осуществляться контроль целостности программного обеспечения, включая
+осуществляться контроль точности, полноты и правильности данных, вводимых
-программное обеспечение средств защиты информации.
+в информационную систему.
-Контроль целостности программного обеспечения, включая
+Контроль точности, полноты и правильности данных, вводимых в
-программного обеспечения средств защиты информации, должен
+информационную систему, обеспечивается путем установления и проверки
-предусматривать:
+соблюдения форматов ввода данных, синтаксических, семантических и (или)
-контроль целостности программного обеспечения средств защиты
+иных правил ввода информации в информационную систему (допустимые
-информации, включая их обновления, по наличию имен (идентификаторов) и
+наборы символов, размерность, область числовых значений, допустимые
-(или) по контрольным суммам компонентов средств защиты информации в
+значения, количество символов) для подтверждения того, что ввод информации
-процессе загрузки и (или) динамически в процессе работы информационной
+соответствует заданному оператором формату и содержанию.
-системы;
+Вводимые данные должны проверяться на наличие конструкций, которые
-контроль целостности компонентов программного обеспечения (за
+могут быть интерпретированы программно-техническими средствами
-исключением средств защиты информации), определяемого оператором исходя
+информационной системы как исполняемые команды.
-из возможности реализации угроз безопасности информации, по наличию имен
-(идентификаторов) компонентов программного обеспечения и (или) по
+Требования к усилению ОЦЛ.7:
-контрольным суммам в процессе загрузки и (или) динамически в процессе
+Не установлены.
-работы информационной системы;
-контроль применения средств разработки и отладки программ в составе
-программного обеспечения информационной системы;
-тестирование с периодичностью установленной оператором функций
-безопасности средств защиты информации, в том числе с помощью тест-
-программ, имитирующих попытки несанкционированного доступа, и (или)
-специальных программных средств, в соответствии с АНЗ.1 и АНЗ.2;
-обеспечение физической защиты технических средств информационной
-системы в соответствии с ЗТС.2 и ЗТС.3.
-В случае если функциональные возможности информационной системы
-должны предусматривать применение в составе ее программного обеспечения
-средств разработки и отладки программ, оператором обеспечивается
-выполнение процедур контроля целостности программного обеспечения после
-завершения каждого процесса функционирования средств разработки и отладки
-программ.
-Требования к усилению ОЦЛ.1:
+Содержание базовой меры ОЦЛ.7:
-) в информационной системе контроль целостности средств защиты
-информации должен осуществляться по контрольным суммам всех
-компонентов средств защиты информации, как в процессе загрузки, так и
-динамически в процессе работы системы; 81
-) в информационной системе должен обеспечиваться контроль
-целостности средств защиты информации с использованием
-криптографических методов в соответствии с законодательством Российской
-Федерации, всех компонентов средств защиты информации, как в процессе
-загрузки, так и динамически в процессе работы системы;
-) оператором исключается возможность использования средств
-разработки и отладки программ во время обработки и (или) хранения
-информации в целях обеспечения целостности программной среды;
-) оператором обеспечивается выделение рабочих мест с установленными
-средствами разработки и отладки программ в отдельный сегмент (тестовую
-среду);
-) оператором должно проводиться периодическое тестирование всех
-функций средств защиты информации, в том числе с помощью специальных
-программных средств, не реже одного раза в квартал;
-) в информационной системе должна обеспечиваться блокировка запуска
-программного обеспечения и (или) блокировка сегмента (компонента)
-информационной системы (автоматизированного рабочего места, сервера) в
-случае обнаружения фактов нарушения целостности.
-Содержание базовой меры ОЦЛ.1:
 Мера защиты
@@ Строка 3377: / Строка 2654: @@
 Класс защищенности информационной системы
 3 2 1
-ОЦЛ.1 + +
+ОЦЛ.7
-Усиление ОЦЛ.1 1, 3, 5 1, 3, 5, 6
+Усиление ОЦЛ.7
-ОЦЛ.2 КОНТРОЛЬ ЦЕЛОСТНОСТИ ИНФОРМАЦИИ,
-СОДЕРЖАЩЕЙСЯ В БАЗАХ ДАННЫХ ИНФОРМАЦИОННОЙ СИСТЕМЫ
-Требования к реализации ОЦЛ.2: В информационной системе должен
-осуществляться контроль целостности информации, содержащейся в базах
-данных информационной системы.
-Контроль целостности информации, содержащейся в базах данных
-информационной системы, должен предусматривать:
-контроль целостности с периодичностью установленной оператором
-структуры базы данных по наличию имен (идентификаторов) и (или) по
-контрольным суммам программных компонент базы данных в процессе
-загрузки и (или) динамически в процессе работы информационной системы;
-контроль целостности с периодичностью установленной оператором
-объектов баз данных, определяемых оператором, по контрольным суммам и
-(или) с использованием криптографических методов в соответствии с 82
-законодательством Российской Федерации в процессе загрузки и (или)
+ОЦЛ.8 КОНТРОЛЬ ОШИБОЧНЫХ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ ПО
-динамически в процессе работы информационной системы;
+ВВОДУ И (ИЛИ) ПЕРЕДАЧЕ ИНФОРМАЦИИ И ПРЕДУПРЕЖДЕНИЕ
-обеспечение физической защиты технических средств информационной
+ПОЛЬЗОВАТЕЛЕЙ ОБ ОШИБОЧНЫХ ДЕЙСТВИЯХ
-системы, на которых установлена база данных, в соответствии с ЗТС.2 и ЗТС.3.
+Требования к реализации ОЦЛ.8: В информационной системе должен
+осуществляться контроль ошибочных действий пользователей по вводу и (или)
+передаче информации и предупреждение пользователей об ошибочных
+действиях.
+Контроль ошибочных действий пользователей по вводу и (или) передаче
+информации и предупреждение пользователей об ошибочных действиях
+должен предусматривать:
+определение оператором типов ошибочных действий пользователей,
+которые потенциально могут привести к нарушению безопасности информации
+в информационной системе; 88
+генерирование сообщений для пользователей об их ошибочных действиях
+и о возможности нарушения безопасности информации в информационной
+системе для корректировки действий пользователей;
+регистрация информации об ошибочных действиях пользователей,
+которые могут привести к нарушению безопасности информации в
+информационной системе, в журналах регистрации событий безопасности в
+соответствии с РСБ.3;
+предоставление доступа к сообщениям об ошибочных действиях
+пользователей только администраторам.
-Требования к усилению ОЦЛ.2:
+Требования к усилению ОЦЛ.8:
-) в информационной системе должны выполняться процедуры контроля
+Не установлены.
-целостности информации, содержащейся в базе данных, перед каждым
-запуском программного обеспечения доступа к базе данных;
-) в информационной системе должен обеспечиваться контроль
-целостности исполняемых модулей хранящихся в базах данных (например,
-хранимые процедуры, триггеры);
-) в информационной системе должна обеспечиваться блокировка запуска
-системы управления базы данных и (или) блокировка сегмента (компонента)
-информационной системы (автоматизированного рабочего места, сервера) в
-случае обнаружения фактов нарушения целостности;
-) контроль целостности структуры базы данных и контроль целостности
-информации, хранящейся в базе данных, с применением специальных
-программных автоматизированных средств контроля целостности.
-Содержание базовой меры ОЦЛ.2:
+Содержание базовой меры ОЦЛ.8:
 Мера защиты
@@ Строка 3423: / Строка 2694: @@
 Класс защищенности информационной системы
 3 2 1
-ОЦЛ.2
+ОЦЛ.8
-Усиление ОЦЛ.2
+Усиление ОЦЛ.8
-ОЦЛ.3 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ
+==3.10. ОБЕСПЕЧЕНИЕ ДОСТУПНОСТИ ИНФОРМАЦИИ (ОДТ) ==
-ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ
-ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ПРИ
-ВОЗНИКНОВЕНИИ НЕШТАТНЫХ СИТУАЦИЙ
-Требования к реализации ОЦЛ.3: Оператором должна быть
+ОДТ.1 ИСПОЛЬЗОВАНИЕ ОТКАЗОУСТОЙЧИВЫХ ТЕХНИЧЕСКИХ
-предусмотрена возможность восстановления программного обеспечения,
+СРЕДСТВ
-включая программное обеспечение средств защиты информации, при
-возникновении нештатных ситуаций.
-Для обеспечения возможности восстановления программного
-обеспечения в информационной системе должны быть приняты
-соответствующие планы по действиям персонала (администраторов
-безопасности, пользователей) при возникновении нештатных ситуаций.
-Возможность восстановления программного обеспечения, включая
-программное обеспечение средств защиты информации, при возникновении
-нештатных ситуаций должна предусматривать: 83
-восстановление программного обеспечения, включая программное
+Требования к реализации ОДТ.1: Оператором обеспечивается
-обеспечение средств защиты информации, из резервных копий (дистрибутивов)
+использование отказоустойчивых технических средств, предусматривающее:
-программного обеспечения;
+определение сегментов информационной системы, в которых должны
-восстановление и проверка работоспособности системы защиты
+применяться отказоустойчивые технические средства, обладающие свойствами
-информации, обеспечивающие необходимый уровень защищенности
+сохранять свою работоспособность после отказа одного или нескольких их
-информации;
+составных частей, и перечня таких средств исходя из требуемых условий
-возврат информационной системы в начальное состояние (до
+обеспечения непрерывности функционирования информационной системы и
-возникновения нештатной ситуации), обеспечивающее ее штатное
+доступности информации, установленных оператором;
-функционирование, или восстановление отдельных функциональных
+определение предельных (пороговых) значений характеристик
-возможностей информационной системы, определенных оператором,
+(коэффициента) готовности, показывающего, какую долю времени от общего
-позволяющих решать задачи по обработке информации.
+времени работы информационной системы техническое средство (техническое
-Оператором применяются компенсирующие меры защиты информации в
+решение) находится в рабочем состоянии, и характеристик надежности
-случаях, когда восстановление работоспособности системы защиты
+(требуемое значение вероятности отказа в единицу времени) исходя из
-информации невозможно.
+требуемых условий обеспечения непрерывности функционирования
+информационной системы и доступности информации, установленных
+оператором;
+применение в информационной системе технических средств с
+установленными оператором характеристиками (коэффициентом) готовности и
+надежности, обеспечивающие требуемые условия непрерывности
+функционирования информационной системы и доступности информации;
+контроль с установленной оператором периодичностью за значениями
+характеристик (коэффициентов) готовности и надежности технических средств
+и реагирование на ухудшение значений данных характеристик (инициализация
+плана восстановления работоспособности и иные методы реагирования);
+замена технических средств, характеристики (коэффициенты) готовности
+и надежности которых достигли предельного значения.
+Оператором должно быть обеспечено определение требуемых
+характеристик (коэффициентов) надежности и готовности в соответствии с
+национальными стандартами.
+Требования к усилению ОДТ.1:
+) оператор выводит из эксплуатации техническое средство путем
+передачи его функций другому (резервному) техническому средству до
+достижения первым предельных (пороговых) значений характеристик
+(коэффициентов) готовности и (или) надежности;
+) в информационной системе реализуется автоматическое оповещение
+(сигнализация) о достижения техническим средством предельных (пороговых)
+значений характеристик (коэффициентов) готовности и надежности (степень
+достижения предельных значений определяется оператором); 90
-Требования к усилению ОЦЛ.3:
+) в информационной системе реализуется автоматическое оповещение
-) оператором обеспечивается восстановление отдельных
+(сигнализация) о достижения техническим средством предельных (пороговых)
-функциональных возможностей информационной системы с применением
+значений характеристик загрузки.
-резервированного программного обеспечения зеркальной информационной
-системы (сегмента информационной системы, технического средства,
-устройства) в соответствии с ОДТ.2 и ОДТ.4.
-Содержание базовой меры ОЦЛ.3:
+Содержание базовой меры ОДТ.1:
 Мера защиты
@@ Строка 3474: / Строка 2756: @@
 Класс защищенности информационной системы
 3 2 1
-ОЦЛ.3 + + + +
+ОДТ.1 +
-Усиление ОЦЛ.3 1
+Усиление ОДТ.1
-ОЦЛ.4 ОБНАРУЖЕНИЕ И РЕАГИРОВАНИЕ НА ПОСТУПЛЕНИЕ В
-ИНФОРМАЦИОННУЮ СИСТЕМУ НЕЗАПРАШИВАЕМЫХ ЭЛЕКТРОННЫХ
-СООБЩЕНИЙ (ПИСЕМ, ДОКУМЕНТОВ) И ИНОЙ ИНФОРМАЦИИ, НЕ
-ОТНОСЯЩИХСЯ К ФУНКЦИОНИРОВАНИЮ ИНФОРМАЦИОННОЙ
-СИСТЕМЫ (ЗАЩИТА ОТ СПАМА)
-Требования к реализации ОЦЛ.4: Оператором обеспечивается
+ОДТ.2 РЕЗЕРВИРОВАНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ,
-обнаружение и реагирование на поступление незапрашиваемых электронных
+ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, КАНАЛОВ ПЕРЕДАЧИ
-сообщений (писем, документов) и иной информации, не относящихся к
+ИНФОРМАЦИИ, СРЕДСТВ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ
-функционированию информационной системы (защита от спама).
+ИНФОРМАЦИОННОЙ СИСТЕМЫ
-Защита от спама реализуется на точках входа в информационную систему
-(выхода) информационных потоков (межсетевые экраны, почтовые серверы,
-Web-серверы, прокси-серверы и серверы удаленного доступа), а также на 84
-автоматизированных рабочих местах, серверах и (или) мобильных технических
+Требования к реализации ОДТ.2: Оператором обеспечивается
-средствах, подключенных к сетям связи общего пользования, для обнаружения
+резервирование технических средств, программного обеспечения, каналов
-и реагирования на поступление по электронной почте незапрашиваемых
+передачи информации, средств обеспечения функционирования
-электронных сообщений (писем, документов) или в приложениях к
+информационной системы, предусматривающее:
-электронным письмам.
+определение сегментов информационной системы, в которых должно
-Защита от спама обеспечивается применением специализированных
+осуществляться резервирование технических средств, программного
-средств защиты, реализующих следующие механизмы защиты:
+обеспечения, каналов передачи информации и средств обеспечения
-фильтрация по содержимому электронных сообщений (писем,
+функционирования, а также перечня резервируемых средств исходя из
-документов) с использованием критериев, позволяющих относить сообщения к
+требуемых условий обеспечения непрерывности функционирования
-спаму сигнатурным и (или) эвристическим методами;
+информационной системы и доступности информации, установленных
-фильтрация на основе информации об отправителе электронного
+оператором;
-сообщения (с использованием «черных» списков (запрещенные отправители) и
+применение резервных (дублирующих) технических средств,
-(или) «белых» списков (разрешенные отправители).
+программного обеспечения, каналов передачи информации и (или) средств
-Оператором должно осуществляться обновление базы «черных»
+обеспечения функционирования информационной системы, обеспечивающих
-(«белых») списков и контроль целостности базы «черных» («белых») списков.
+требуемые условия непрерывности функционирования информационной
+системы и доступности информации;
+ввод в действие резервного технического средства, программного
+обеспечения, канала передачи информации или средства обеспечения
+функционирования при нарушении требуемых условий непрерывности
+функционирования информационной системы и доступности информации.
+Резервирование технических средств в зависимости от требуемых
+условий обеспечения непрерывности функционирования информационной
+системы и доступности информации включает ненагруженное («холодное») и
+(или) нагруженное («горячее») резервирование.
+При резервировании программного обеспечения осуществляется создание
+резервных копий общесистемного, специального и прикладного программного
+обеспечения, а также программного обеспечения средств защиты информации, 91
-Требования к усилению ОЦЛ.4:
+необходимых для обеспечения требуемых условий непрерывности
-) оператором обеспечивается централизованное управление средствами
+функционирования информационной системы и доступности информации.
-защиты от спама;
+Резервирование каналов передачи информации включает:
-) фильтрация на основе информации об отправителе электронного
+резервирование каналов связи, обеспечивающее снижение вероятности
-сообщения с использованием эвристических методов (например, «серые»
+отказа в доступе к информационной системе;
-списки серверов электронной почты, распознавание автоматически
+наличие у основных и альтернативных поставщиков
-генерируемых имен отправителей и другие);
+телекоммуникационных услуг (провайдеров) информационной системы планов
-) аутентификация отправителей электронных сообщений в соответствии
+по восстановлению связи при авариях и сбоях, с указанием времени
-с ИАФ.1, ИАФ.6, ИАФ.7;
+восстановления.
-) аутентификация серверов электронной почты в соответствии с ИАФ.2,
+Резервирование средств обеспечения функционирования
-ИАФ.7.
+информационной системы включает:
+использование кратковременных резервных источников питания для
-Содержание базовой меры ОЦЛ.4:
+обеспечения правильного (корректного) завершения работы сегмента
+информационной системы (технического средства, устройства) в случае
+отключения основного источника питания;
+использование долговременных резервных источников питания в случае
+длительного отключения основного источника питания и необходимости
+продолжения выполнения сегментом информационной системы (техническим
+средством, устройством) установленных функциональных (задач);
+определение перечня энергозависимых технических средств, которым
+необходимо обеспечить наличие резервных источников питания
+(кратковременных и долговременных).
-Мера защиты
+Требования к усилению ОДТ.2:
-информации
+) в информационной системе должно обеспечиваться резервирование
-Класс защищенности информационной системы
+автоматизированных рабочих мест, на которых обрабатывается информация
-3 2 1
+(совокупности технических средств, установленного программного
-ОЦЛ.4 + +
+обеспечения, средств защиты информации и параметров настройки), в том
-Усиление ОЦЛ.4
+числе предусматривающее:
+пространственное (географическое) отделение резервных
+автоматизированных рабочих мест от основных мест обработки информации, с
+учетом возможных угроз нарушения доступности информации;
+конфигурацию резервных мест обработки информации,
+предусматривающую минимально требуемые эксплуатационные возможности
+рабочего места;
+разработку оператором процедур обеспечения требуемых условий
+обеспечения непрерывности функционирования информационной системы и
+доступности информации в случае нарушения функционирования (сбоев,
+аварий) резервных мест обработки информации;
+ограничение времени обработки информации на резервном рабочем
+месте до времени восстановления функционирования основного рабочего
+места; 92
+) в информационной системе должно обеспечиваться предоставление
+резервных каналов связи от альтернативных поставщиков
-ОЦЛ.5 КОНТРОЛЬ СОДЕРЖАНИЯ ИНФОРМАЦИИ,
+телекоммуникационных услуг (провайдеров), отличных от поставщиков
-ПЕРЕДАВАЕМОЙ ИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ
+(провайдеров) основных каналов связи;
-(КОНТЕЙНЕРНЫЙ, ОСНОВАННЫЙ НА СВОЙСТВАХ ОБЪЕКТА
+) в информационной системе должно обеспечиваться использование
-ДОСТУПА, И КОНТЕНТНЫЙ, ОСНОВАННЫЙ НА ПОИСКЕ
+резервных каналов связи, проходящих по трассам отличным, от трасс
-ЗАПРЕЩЕННОЙ К ПЕРЕДАЧЕ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ
+прохождения основных каналов связи;
-СИГНАТУР, МАСОК И ИНЫХ МЕТОДОВ), И ИСКЛЮЧЕНИЕ
+) в информационной системе должно обеспечиваться использование
-НЕПРАВОМЕРНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ ИЗ ИНФОРМАЦИОННОЙ
+резервных (отделенных от основных) телекоммуникационных сервисов,
-СИСТЕМЫ
+обеспечивающих доступность информации, до восстановления доступности
+основных телекоммуникационных сервисов поставщиком
+телекоммуникационных услуг (провайдером).
-Требования к реализации ОЦЛ.5: В информационной системе должен
+Содержание базовой меры ОДТ.2:
-осуществляться контроль содержания информации, передаваемой из
-информационной системы (контейнерный, основанный на свойствах объекта
-доступа, и контентный, основанный на поиске запрещенной к передаче
-информации с использованием сигнатур, масок и иных методов), и исключение
-неправомерной передачи информации из информационной системы.
-Контроль содержания информации, передаваемой из информационной
-системы, должен предусматривать:
-выявление фактов неправомерной передачи защищаемой информации из
-информационной системы через сети связи общего пользования и реагирование
-на них;
-выявление фактов неправомерной записи защищаемой информации на
-неучтенные съемные машинные носители информации и реагирование на них;
-выявление фактов неправомерного вывода на печать документов,
-содержащих защищаемую информацию и реагирование на них;
-выявление фактов неправомерного копирования защищаемой
-информации в прикладное программное обеспечение из буфера обмена и
-реагирование на них;
-контроль хранения защищаемой информации на серверах и
-автоматизированных рабочих местах;
-выявление фактов хранения информации на общих сетевых ресурсах
-(общие папки, системы документооборота, базы данных почтовые архивы и
-иные ресурсы).
-Контроль содержания информации, передаваемой из информационной
-системы, осуществляется по цифровым отпечаткам информации, по
-регулярным выражениям и (или) по атрибутам безопасности (меткам
-безопасности) файлов.
-Требования к усилению ОЦЛ.5:
+Мера защиты
-) в информационной системе должно осуществляться хранение всей
-передаваемой из информационной системы информации и (или) информации с
-недопустимым к передаче из информационной системы содержанием, в
-течение времени, определяемого оператором;
-) в информационной системе должна осуществляться блокировка
-передачи из информационной системы информации с недопустимым
-содержанием. 86
-Содержание базовой меры ОЦЛ.5:
-Мера защиты
 информации
 Класс защищенности информационной системы
 3 2 1
-ОЦЛ.5
+ОДТ.2
+ +
+Усиление ОДТ.2
-Усиление ОЦЛ.5
+ОДТ.3 КОНТРОЛЬ БЕЗОТКАЗНОГО ФУНКЦИОНИРОВАНИЯ
+ТЕХНИЧЕСКИХ СРЕДСТВ, ОБНАРУЖЕНИЕ И ЛОКАЛИЗАЦИЯ ОТКАЗОВ
+ФУНКЦИОНИРОВАНИЯ, ПРИНЯТИЕ МЕР ПО ВОССТАНОВЛЕНИЮ
+ОТКАЗАВШИХ СРЕДСТВ И ИХ ТЕСТИРОВАНИЕ
+Требования к реализации ОДТ.3: Оператором должен осуществляться
+контроль безотказного функционирования технических средств, обнаружение и
+локализация отказов функционирования, принятие мер по восстановлению
+отказавших средств и их тестирование.
+Контроль безотказного функционирования проводится в отношении
+серверного и телекоммуникационного оборудования, каналов связи, средств
+обеспечения функционирования информационной системы путем
+периодической проверки работоспособности в соответствии с
+эксплуатационной документацией (в том числе путем посылки тестовых
+сообщений и принятия «ответов», визуального контроля, контроля трафика,
+контроля «поведения» системы или иными методами).
+При обнаружении отказов функционирования осуществляется их
+локализация и принятие мер по восстановлению отказавших средств в
+соответствии с ОЦЛ.3, их тестирование в соответствии с эксплуатационной
+документацией, а также регистрация событий, связанных с отказами
+функционирования, в соответствующих журналах.
+Требования к усилению ОДТ.3:
+) в информационной системе должна быть обеспечена сигнализация
+(уведомление) о неисправностях, сбоях и отказах в функционировании
+программно-технических средств информационной системы;
+) оператором должна обеспечиваться регистрация сбоев и отказов в
+функционировании технических средств информационной системы;
+) в информационной системе должны применяться программные
+средства мониторинга технического состояния информационной системы,
+осуществляющие мониторинг отказов программных и программно-технических
+средств в соответствии с перечнем, определенным оператором.
-ОЦЛ.6 ОГРАНИЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЕЙ ПО ВВОДУ
+Базовый набор ОДТ.3:
-ИНФОРМАЦИИ В ИНФОРМАЦИОННУЮ СИСТЕМУ
-Требования к реализации ОЦЛ.6: В информационной системе должно
-осуществляться ограничение прав пользователей по вводу информации в
-информационную систему.
-Ограничение прав пользователей по вводу информации предусматривает
-ограничение по вводу в определенные типы объектов доступа (объекты
-файловой системы, объекты баз данных, объекты прикладного и специального
-программного обеспечения) информации исходя из задач и полномочий,
-решаемых пользователем в информационной системе.
-Ограничению прав пользователей по вводу информации в
-информационную систему должны реализовываться в соответствии с УПД.4 и
-УПД.5.
-Требования к усилению ОЦЛ.6:
-) в информационной системе обеспечивается исключение возможности
-ввода пользователями информации в информационную систему, вследствие
-реализации ограничительных интерфейсов по вводу информации только через
-специальные формы прикладного программного обеспечения.
-Содержание базовой меры ОЦЛ.6:
 Мера защиты
@@ Строка 3619: / Строка 2902: @@
 Класс защищенности информационной системы
 3 2 1
-ОЦЛ.6
+ОДТ.3 + +
- +
+Усиление ОДТ.3
-Усиление ОЦЛ.6
+ОДТ.4 ПЕРИОДИЧЕСКОЕ РЕЗЕРВНОЕ КОПИРОВАНИЕ
+ИНФОРМАЦИИ НА РЕЗЕРВНЫЕ МАШИННЫЕ НОСИТЕЛИ
+ИНФОРМАЦИИ
+Требования к реализации ОДТ.4: Оператором обеспечивается
+периодическое резервное копирование информации на резервные машинные
-ОЦЛ.7 КОНТРОЛЬ ТОЧНОСТИ, ПОЛНОТЫ И ПРАВИЛЬНОСТИ
+носители информации, предусматривающее:
-ДАННЫХ, ВВОДИМЫХ В ИНФОРМАЦИОННУЮ СИСТЕМУ
+резервное копирование информации на резервные машинные носители
+информации с установленной оператором периодичностью;
+разработку перечня информации (типов информации), подлежащей
+периодическому резервному копированию на резервные машинные носители
+информации;
+регистрацию событий, связанных с резервным копированием
+информации на резервные машинные носители информации;
+принятие мер для защиты резервируемой информации, обеспечивающих
+ее конфиденциальность, целостность и доступность.
-Требования к реализации ОЦЛ.7:В информационной системе должен
+Требования к усилению ОДТ.4:
-осуществляться контроль точности, полноты и правильности данных, вводимых
+) оператором должна осуществляться с установленной им
-в информационную систему.
+периодичностью проверка работоспособности средств резервного копирования,
-Контроль точности, полноты и правильности данных, вводимых в
+средств хранения резервных копий и средств восстановления информации из
-информационную систему, обеспечивается путем установления и проверки
+резервных копий (периодичность проверки работоспособности определяется
-соблюдения форматов ввода данных, синтаксических, семантических и (или)
+оператором); 94
-иных правил ввода информации в информационную систему (допустимые
-наборы символов, размерность, область числовых значений, допустимые
-значения, количество символов) для подтверждения того, что ввод информации
-соответствует заданному оператором формату и содержанию.
-Вводимые данные должны проверяться на наличие конструкций, которые
-могут быть интерпретированы программно-техническими средствами
-информационной системы как исполняемые команды.
-Требования к усилению ОЦЛ.7:
+) оператором должно осуществляться хранение (размещение) резервных
-Не установлены.
+копий информации на отдельных (размещенных вне информационной системы)
+средствах хранения резервных копий и в помещениях, специально
-Содержание базовой меры ОЦЛ.7:
+предназначенных для хранения резервных копий информации, которые
+исключают воздействие внешних факторов на хранимую информацию;
-Мера защиты
+) оператором должно осуществляться резервное копирование
+информации на зеркальную информационную систему (сегмент
+информационной системы, техническое средство, устройство);
+) оператором должна обеспечиваться соответствующая пропускная
+способность каналов связи, используемых для передачи резервных копий в
+процессе их создания или восстановления информации, для достижения
+требуемых условий обеспечения непрерывности функционирования
+информационной системы и доступности информации;
+) оператором должно осуществляться пространственное
+(географическое) разнесение мест хранения носителей резервных копий
+информации и мест расположения оригиналов этой информации.
+Содержание базовой меры ОДТ.4:
+Мера защиты
 информации
 Класс защищенности информационной системы
 3 2 1
-ОЦЛ.7
+ОДТ.4
+ + +
+Усиление ОДТ.4
+, 2 1, 3
-Усиление ОЦЛ.7
+ОДТ.5 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ
+ИНФОРМАЦИИ С РЕЗЕРВНЫХ МАШИННЫХ НОСИТЕЛЕЙ
+ИНФОРМАЦИИ (РЕЗЕРВНЫХ КОПИЙ) В ТЕЧЕНИЕ УСТАНОВЛЕННОГО
+ВРЕМЕННОГО ИНТЕРВАЛА
+Требования к реализации ОДТ.5: Оператором должноа быть
+обеспечена возможность восстановления информации с резервных машинных
+носителей информации (резервных копий) в течение установленного
+оператором временного интервала.
+Восстановление информации с резервных машинных носителей
+информации (резервных копий) должно предусматривать:
+определение времени, в течение которого должно быть обеспечено
+восстановление информации и обеспечивающего требуемые условия
+непрерывности функционирования информационной системы и доступности
+информации;
+восстановление информации с резервных машинных носителей
+информации (резервных копий) в течение установленного оператором
+временного интервала; 95
-ОЦЛ.8 КОНТРОЛЬ ОШИБОЧНЫХ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ ПО
+регистрация событий, связанных восстановлением информации с
-ВВОДУ И (ИЛИ) ПЕРЕДАЧЕ ИНФОРМАЦИИ И ПРЕДУПРЕЖДЕНИЕ
+резервных машинных носителей информации.
-ПОЛЬЗОВАТЕЛЕЙ ОБ ОШИБОЧНЫХ ДЕЙСТВИЯХ
-Требования к реализации ОЦЛ.8: В информационной системе должен
+Требования к усилению ОДТ.5:
-осуществляться контроль ошибочных действий пользователей по вводу и (или)
+) оператором должна обеспечиваться возможность восстановления
-передаче информации и предупреждение пользователей об ошибочных
+информации с учетом нагруженного («горячего») резервирования технических
-действиях.
+средств в соответствии с ОДТ.2;
-Контроль ошибочных действий пользователей по вводу и (или) передаче
+) в информационной системе должно осуществляться предоставление
-информации и предупреждение пользователей об ошибочных действиях
+пользователям резервных мест обработки информации в соответствии с ОДТ.2
-должен предусматривать:
+до восстановления из резервных копий информации и обеспечения ее
-определение оператором типов ошибочных действий пользователей,
+доступности на основных местах обработки информации.
-которые потенциально могут привести к нарушению безопасности информации
-в информационной системе; 88
-генерирование сообщений для пользователей об их ошибочных действиях
+Содержание базовой меры ОДТ.5:
-и о возможности нарушения безопасности информации в информационной
-системе для корректировки действий пользователей;
-регистрация информации об ошибочных действиях пользователей,
-которые могут привести к нарушению безопасности информации в
-информационной системе, в журналах регистрации событий безопасности в
-соответствии с РСБ.3;
-предоставление доступа к сообщениям об ошибочных действиях
-пользователей только администраторам.
-Требования к усилению ОЦЛ.8:
-Не установлены.
-Содержание базовой меры ОЦЛ.8:
 Мера защиты
@@ Строка 3693: / Строка 2997: @@
 Класс защищенности информационной системы
 3 2 1
-ОЦЛ.8
+ОДТ.5
+ + +
+Усиление ОДТ.5
-Усиление ОЦЛ.8
+ОДТ.6 КЛАСТЕРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ И (ИЛИ)
+ЕЕ СЕГМЕНТОВ
+Требования к реализации ОДТ.6: В информационной системе
+обеспечивается выделение групп однотипных узлов, объединенных каналами
-==3.10. ОБЕСПЕЧЕНИЕ ДОСТУПНОСТИ ИНФОРМАЦИИ (ОДТ) ==
+передачи информации и рассматриваемых как единый программно-
+технический ресурс, информационной системы в целом и (или) отдельных ее
+сегментов (серверов приложений, файловых серверов, серверов баз данных,
+средств защиты информации и иных сегментов.) для обеспечения доступности
+информации, сервисов и механизмов защиты информации.
+Требования к усилению ОДТ.6:
+) в информационной системе должна осуществляться кластеризация
+серверов контроллеров доменов, серверов резервного копирования, серверов
+управления и мониторинга состояния информационной системы, серверов
+виртуальной инфраструктуры и иных основных устройств и программного
+обеспечения системного уровня;
+) в информационной системе должна осуществляться кластеризация
+серверов приложений, файловых серверов, серверов баз данных, почтовых
+серверов и иных устройств и программного обеспечения прикладного уровня;
+) в информационной системе должна осуществляться кластеризация
+средств защиты информации (в случаях, когда это технически возможно), 96
+включая средства межсетевого экранирования, средства защиты каналов
+передачи информации.
+Содержание базовой меры ОДТ.6:
-ОДТ.1 ИСПОЛЬЗОВАНИЕ ОТКАЗОУСТОЙЧИВЫХ ТЕХНИЧЕСКИХ
+Мера защиты
-СРЕДСТВ
+информации
+Класс защищенности информационной системы
+3 2 1
+ОДТ.6
-Требования к реализации ОДТ.1: Оператором обеспечивается
+Усиление ОДТ.6
-использование отказоустойчивых технических средств, предусматривающее:
-определение сегментов информационной системы, в которых должны
-применяться отказоустойчивые технические средства, обладающие свойствами
-сохранять свою работоспособность после отказа одного или нескольких их
-составных частей, и перечня таких средств исходя из требуемых условий
-обеспечения непрерывности функционирования информационной системы и
-доступности информации, установленных оператором;
-определение предельных (пороговых) значений характеристик
-(коэффициента) готовности, показывающего, какую долю времени от общего
-времени работы информационной системы техническое средство (техническое
-решение) находится в рабочем состоянии, и характеристик надежности
-(требуемое значение вероятности отказа в единицу времени) исходя из
-требуемых условий обеспечения непрерывности функционирования
-информационной системы и доступности информации, установленных
-оператором;
-применение в информационной системе технических средств с
-установленными оператором характеристиками (коэффициентом) готовности и
-надежности, обеспечивающие требуемые условия непрерывности
-функционирования информационной системы и доступности информации;
-контроль с установленной оператором периодичностью за значениями
-характеристик (коэффициентов) готовности и надежности технических средств
-и реагирование на ухудшение значений данных характеристик (инициализация
-плана восстановления работоспособности и иные методы реагирования);
-замена технических средств, характеристики (коэффициенты) готовности
-и надежности которых достигли предельного значения.
-Оператором должно быть обеспечено определение требуемых
-характеристик (коэффициентов) надежности и готовности в соответствии с
-национальными стандартами.
-Требования к усилению ОДТ.1:
-) оператор выводит из эксплуатации техническое средство путем
-передачи его функций другому (резервному) техническому средству до
-достижения первым предельных (пороговых) значений характеристик
-(коэффициентов) готовности и (или) надежности;
-) в информационной системе реализуется автоматическое оповещение
-(сигнализация) о достижения техническим средством предельных (пороговых)
-значений характеристик (коэффициентов) готовности и надежности (степень
-достижения предельных значений определяется оператором); 90
-) в информационной системе реализуется автоматическое оповещение
-(сигнализация) о достижения техническим средством предельных (пороговых)
-значений характеристик загрузки.
-Содержание базовой меры ОДТ.1:
+ОДТ.7 КОНТРОЛЬ СОСТОЯНИЯ И КАЧЕСТВА ПРЕДОСТАВЛЕНИЯ
+УПОЛНОМОЧЕННЫМ ЛИЦОМ ВЫЧИСЛИТЕЛЬНЫХ РЕСУРСОВ
+(МОЩНОСТЕЙ), В ТОМ ЧИСЛЕ ПО ПЕРЕДАЧЕ ИНФОРМАЦИИ
-Мера защиты
+Требования к реализации ОДТ.7: Оператором должен осуществляться
-информации
+контроль состояния и качества предоставления уполномоченным лицом
-Класс защищенности информационной системы
+(провайдером) вычислительных ресурсов (мощностей), в том числе по передаче
-3 2 1
+информации, предусматривающий:
-ОДТ.1 +
+контроль выполнения уполномоченным лицом требований о защите
-Усиление ОДТ.1
+информации, установленных законодательством Российской Федерации и
+условиями договора (соглашения), на основании которого уполномоченное
+лицо обрабатывает информацию или предоставляет вычислительные ресурсы
+(мощности);
+мониторинг состояния и качества предоставления уполномоченным
+лицом (провайдером) вычислительных ресурсов (мощностей);
+мониторинг состояния и качества предоставления уполномоченным
+лицом (провайдером) услуг по передаче информации.
+Условия, права и обязанности, содержание и порядок контроля должны
+определяться в договоре (соглашении), заключаемом между оператором и
+уполномоченным лицом на предоставление вычислительных ресурсов
+(мощностей) или передачу информации с использованием информационно-
+телекоммуникационных сетей связи.
+Требования к усилению ОДТ.7:
+) между оператором и поставщиком услуг (телекоммуникационных,
+вычислительных) должно заключаться соглашение об уровне услуг,
+содержащее описание услуг, прав и обязанностей сторон и согласованный
+уровень качества предоставляемых услуг в соответствии с законодательством
+Российской Федерации.
-ОДТ.2 РЕЗЕРВИРОВАНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ,
+Содержание базовой меры ОДТ.7:
-ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, КАНАЛОВ ПЕРЕДАЧИ
-ИНФОРМАЦИИ, СРЕДСТВ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ
+Мера защиты
-ИНФОРМАЦИОННОЙ СИСТЕМЫ
+информации
+Класс защищенности информационной системы
+3 2 1
+ОДТ.7
+ + +
+Усиление ОДТ.7
-Требования к реализации ОДТ.2: Оператором обеспечивается
-резервирование технических средств, программного обеспечения, каналов
-передачи информации, средств обеспечения функционирования
-информационной системы, предусматривающее:
-определение сегментов информационной системы, в которых должно
-осуществляться резервирование технических средств, программного
-обеспечения, каналов передачи информации и средств обеспечения
-функционирования, а также перечня резервируемых средств исходя из
-требуемых условий обеспечения непрерывности функционирования
-информационной системы и доступности информации, установленных
-оператором;
-применение резервных (дублирующих) технических средств,
-программного обеспечения, каналов передачи информации и (или) средств
-обеспечения функционирования информационной системы, обеспечивающих
-требуемые условия непрерывности функционирования информационной
-системы и доступности информации;
-ввод в действие резервного технического средства, программного
-обеспечения, канала передачи информации или средства обеспечения
-функционирования при нарушении требуемых условий непрерывности
-функционирования информационной системы и доступности информации.
-Резервирование технических средств в зависимости от требуемых
-условий обеспечения непрерывности функционирования информационной
-системы и доступности информации включает ненагруженное («холодное») и
-(или) нагруженное («горячее») резервирование.
-При резервировании программного обеспечения осуществляется создание
-резервных копий общесистемного, специального и прикладного программного
-обеспечения, а также программного обеспечения средств защиты информации, 91
-необходимых для обеспечения требуемых условий непрерывности
-функционирования информационной системы и доступности информации.
-Резервирование каналов передачи информации включает:
-резервирование каналов связи, обеспечивающее снижение вероятности
-отказа в доступе к информационной системе;
-наличие у основных и альтернативных поставщиков
-телекоммуникационных услуг (провайдеров) информационной системы планов
-по восстановлению связи при авариях и сбоях, с указанием времени
-восстановления.
-Резервирование средств обеспечения функционирования
-информационной системы включает:
-использование кратковременных резервных источников питания для
-обеспечения правильного (корректного) завершения работы сегмента
-информационной системы (технического средства, устройства) в случае
-отключения основного источника питания;
-использование долговременных резервных источников питания в случае
-длительного отключения основного источника питания и необходимости
-продолжения выполнения сегментом информационной системы (техническим
-средством, устройством) установленных функциональных (задач);
-определение перечня энергозависимых технических средств, которым
-необходимо обеспечить наличие резервных источников питания
-(кратковременных и долговременных).
-Требования к усилению ОДТ.2:
-) в информационной системе должно обеспечиваться резервирование
-автоматизированных рабочих мест, на которых обрабатывается информация
-(совокупности технических средств, установленного программного
-обеспечения, средств защиты информации и параметров настройки), в том
-числе предусматривающее:
-пространственное (географическое) отделение резервных
-автоматизированных рабочих мест от основных мест обработки информации, с
-учетом возможных угроз нарушения доступности информации;
-конфигурацию резервных мест обработки информации,
-предусматривающую минимально требуемые эксплуатационные возможности
-рабочего места;
-разработку оператором процедур обеспечения требуемых условий
-обеспечения непрерывности функционирования информационной системы и
-доступности информации в случае нарушения функционирования (сбоев,
-аварий) резервных мест обработки информации;
-ограничение времени обработки информации на резервном рабочем
-месте до времени восстановления функционирования основного рабочего
-места; 92
-) в информационной системе должно обеспечиваться предоставление
+==3.11. ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ (ЗСВ) ==
-резервных каналов связи от альтернативных поставщиков
-телекоммуникационных услуг (провайдеров), отличных от поставщиков
-(провайдеров) основных каналов связи;
-) в информационной системе должно обеспечиваться использование
-резервных каналов связи, проходящих по трассам отличным, от трасс
-прохождения основных каналов связи;
-) в информационной системе должно обеспечиваться использование
-резервных (отделенных от основных) телекоммуникационных сервисов,
-обеспечивающих доступность информации, до восстановления доступности
-основных телекоммуникационных сервисов поставщиком
-телекоммуникационных услуг (провайдером).
-Содержание базовой меры ОДТ.2:
+ЗСВ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ
+ДОСТУПА И ОБЪЕКТОВ ДОСТУПА В ВИРТУАЛЬНОЙ
+ИНФРАСТРУКТУРЕ, В ТОМ ЧИСЛЕ АДМИНИСТРАТОРОВ УПРАВЛЕНИЯ
+СРЕДСТВАМИ ВИРТУАЛИЗАЦИИ
-Мера защиты
+Требования к реализации ЗСВ.1: В информационной системе должны
-информации
+обеспечиваться идентификация и аутентификация субъектов доступа и
-Класс защищенности информационной системы
+объектов доступа в виртуальной инфраструктуре, в том числе администраторов
-3 2 1
+управления средствами виртуализации, в соответствии с ИАФ.1, ИАФ.2,
-ОДТ.2
+ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7.
- +
+Виртуальная инфраструктура включает среду виртуализации
-Усиление ОДТ.2
+(программное обеспечение, служебные данные компонентов виртуальной
+инфраструктуры) и аппаратное обеспечение (аппаратные средства,
+необходимые для функционирования среды виртуализации, в том числе
+средства резервного копирования и защиты информации).
+В качестве компонентов виртуальной инфраструктуры необходимо, как
+минимум, рассматривать серверное оборудование, аппаратное обеспечение
+консолей управления, оборудование хранения данных, сетевое оборудование,
+гипервизор, хостовую операционную систему (если применимо), виртуальные
+машины, программную среду виртуальных машин (в том числе их
+операционные системы и программное обеспечение), виртуальное аппаратное
+обеспечение, виртуализированное программное обеспечение (виртуальные
+машины с предустановленным программным обеспечением, предназначенным
+для выполнения определенных функций в виртуальной инфраструктуре),
+программное обеспечение управления виртуальной инфраструктурой (в том
+числе гипервизором, настройками виртуальных машин, миграцией
+виртуальных машин, балансировкой нагрузки), служебные данные
+компонентов виртуальной инфраструктуры (настройки и иные служебные
+данные), средства резервного компонентов среды виртуализации и средства
+защиты информации, используемые в рамках виртуальных машин и
+виртуальной инфраструктуры в целом.
+В качестве объектов доступа в виртуальной инфраструктуре необходимо,
+как минимум, рассматривать программное обеспечение управления
+виртуальной инфраструктурой, гипервизор, хостовую операционную систему
+(если применимо), виртуальные машины, программную среду виртуальных
+машин (в том числе их операционные системы и программное обеспечение),
+виртуальные контейнеры (зоны), виртуализированное программное
+обеспечение (виртуальные машины с предустановленным программным
+обеспечением, предназначенная для выполнения определенных функций в
+виртуальной инфраструктуре), средства защиты информации, используемые в
+рамках виртуальных машин и виртуальной инфраструктуры в целом. 99
+При реализации мер по идентификации и аутентификации субъектов
+доступа и объектов доступа в виртуальной инфраструктуре должны
+обеспечиваться:
+идентификация и аутентификация администраторов управления
+средствами виртуализации;
+идентификация и аутентификация субъектов доступа при их локальном и
+удалённом обращении к объектам доступа в виртуальной инфраструктуре;
+блокировка доступа к компонентам виртуальной инфраструктуры для
+субъектов доступа, не прошедших процедуру аутентификации;
+защита аутентификационной информации субъектов доступа, хранящейся
+в компонентах виртуальной инфраструктуры от неправомерных доступа к ней,
+уничтожения или модифицирования;
+защита аутентификационной информации в процессе ее ввода для
+аутентификации в виртуальной инфраструктуре от возможного использования
+лицами, не имеющими на это полномочий;
+идентификация и аутентификация субъектов доступа при осуществлении
+ими попыток доступа к средствам управления параметрами аппаратного
+обеспечения виртуальной инфраструктуры.
+Внутри развернутых на базе виртуальной инфраструктуры виртуальных
+машин должна быть также обеспечена реализация мер по идентификации и
+аутентификации субъектов и объектов доступа в соответствии с ИАФ.1 –
+ИАФ.10.
+Требования к усилению ЗСВ.1:
+) в информационной системе должны обеспечиваться взаимная
+идентификация и аутентификация пользователя и сервера виртуализации
+(виртуальных машин) при удалённом доступе.
-ОДТ.3 КОНТРОЛЬ БЕЗОТКАЗНОГО ФУНКЦИОНИРОВАНИЯ
+Содержание базовой меры ЗСВ.1:
-ТЕХНИЧЕСКИХ СРЕДСТВ, ОБНАРУЖЕНИЕ И ЛОКАЛИЗАЦИЯ ОТКАЗОВ
-ФУНКЦИОНИРОВАНИЯ, ПРИНЯТИЕ МЕР ПО ВОССТАНОВЛЕНИЮ
-ОТКАЗАВШИХ СРЕДСТВ И ИХ ТЕСТИРОВАНИЕ
-Требования к реализации ОДТ.3: Оператором должен осуществляться
-контроль безотказного функционирования технических средств, обнаружение и
-локализация отказов функционирования, принятие мер по восстановлению
-отказавших средств и их тестирование.
-Контроль безотказного функционирования проводится в отношении
-серверного и телекоммуникационного оборудования, каналов связи, средств
-обеспечения функционирования информационной системы путем
-периодической проверки работоспособности в соответствии с
-эксплуатационной документацией (в том числе путем посылки тестовых
-сообщений и принятия «ответов», визуального контроля, контроля трафика,
-контроля «поведения» системы или иными методами).
-При обнаружении отказов функционирования осуществляется их
-локализация и принятие мер по восстановлению отказавших средств в
-соответствии с ОЦЛ.3, их тестирование в соответствии с эксплуатационной
-документацией, а также регистрация событий, связанных с отказами
-функционирования, в соответствующих журналах.
-Требования к усилению ОДТ.3:
-) в информационной системе должна быть обеспечена сигнализация
-(уведомление) о неисправностях, сбоях и отказах в функционировании
-программно-технических средств информационной системы;
-) оператором должна обеспечиваться регистрация сбоев и отказов в
-функционировании технических средств информационной системы;
-) в информационной системе должны применяться программные
-средства мониторинга технического состояния информационной системы,
-осуществляющие мониторинг отказов программных и программно-технических
-средств в соответствии с перечнем, определенным оператором.
-Базовый набор ОДТ.3:
 Мера защиты
@@ Строка 3901: / Строка 3166: @@
 Класс защищенности информационной системы
 3 2 1
-ОДТ.3 + +
+ЗСВ.1 + + + +
-Усиление ОДТ.3
+Усиление
+ЗСВ.1
+1
-ОДТ.4 ПЕРИОДИЧЕСКОЕ РЕЗЕРВНОЕ КОПИРОВАНИЕ
+ЗСВ.2 УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К
-ИНФОРМАЦИИ НА РЕЗЕРВНЫЕ МАШИННЫЕ НОСИТЕЛИ
+ОБЪЕКТАМ ДОСТУПА В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ, В ТОМ
-ИНФОРМАЦИИ
+ЧИСЛЕ ВНУТРИ ВИРТУАЛЬНЫХ МАШИН
-Требования к реализации ОДТ.4: Оператором обеспечивается
+Требования к реализации ЗСВ.2: В информационной системе должно
-периодическое резервное копирование информации на резервные машинные
+обеспечиваться управление доступом субъектов доступа к объектам доступа, в 100
-носители информации, предусматривающее:
-резервное копирование информации на резервные машинные носители
-информации с установленной оператором периодичностью;
-разработку перечня информации (типов информации), подлежащей
-периодическому резервному копированию на резервные машинные носители
-информации;
-регистрацию событий, связанных с резервным копированием
-информации на резервные машинные носители информации;
-принятие мер для защиты резервируемой информации, обеспечивающих
-ее конфиденциальность, целостность и доступность.
-Требования к усилению ОДТ.4:
+том числе внутри виртуальных машин, в соответствии с УПД.1, УПД.2, УПД.4,
-) оператором должна осуществляться с установленной им
+УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13.
-периодичностью проверка работоспособности средств резервного копирования,
+При реализации мер по управлению доступом субъектов доступа к
-средств хранения резервных копий и средств восстановления информации из
+объектам доступа в виртуальной инфраструктуре должны обеспечиваться:
-резервных копий (периодичность проверки работоспособности определяется
+контроль доступа субъектов доступа к средствам управления
-оператором); 94
+компонентами виртуальной инфраструктуры;
+контроль доступа субъектов доступа к файлам-образам
+виртуализированного программного обеспечения, виртуальных машин,
+файлам-образам, служебным данным, используемым для обеспечения работы
+виртуальных файловых систем, и иным служебным данным средств
+виртуальной среды;
+управление доступом к виртуальному аппаратному обеспечению
+информационной системы, являющимся объектом доступа;
+контроль запуска виртуальных машин на основе заданных оператором
+правил (режима запуска, типа используемого носителя и иных правил).
+Кроме того меры по управлению доступом субъектов доступа к объектам
+доступа должны обеспечивать:
+разграничение доступа субъектов доступа, зарегистрированных на
+виртуальных машинах, к объектам доступа, расположенным внутри
+виртуальных машин, в соответствии с правилами разграничения доступа
+пользователей данных виртуальных машин (потребителей облачных услуг);
+разграничение доступа субъектов доступа, зарегистрированных на
+виртуальных машинах, к ресурсам информационной системы, размещенным за
+пределами виртуальных машин, в соответствии с правилами разграничения
+доступа принятыми в информационной системе в целом.
-) оператором должно осуществляться хранение (размещение) резервных
+Требования к усилению ЗСВ.2:
-копий информации на отдельных (размещенных вне информационной системы)
+) в информационной системе должен обеспечиваться доступ к
-средствах хранения резервных копий и в помещениях, специально
+операциям, выполняемым с помощью средств управления виртуальными
-предназначенных для хранения резервных копий информации, которые
+машинами, в том числе к операциям создания, запуска, останова, создания
-исключают воздействие внешних факторов на хранимую информацию;
+копий, удаления виртуальных машин должен быть разрешен только
-) оператором должно осуществляться резервное копирование
+администраторам виртуальной инфраструктуры;
-информации на зеркальную информационную систему (сегмент
+) в информационной системе должен обеспечиваться доступ к
-информационной системы, техническое средство, устройство);
+конфигурации виртуальных машин только администраторам виртуальной
-) оператором должна обеспечиваться соответствующая пропускная
+инфраструктуры;
-способность каналов связи, используемых для передачи резервных копий в
+) администратор виртуальной инфраструктуры определяет ограничения
-процессе их создания или восстановления информации, для достижения
+по изменению состава устройств виртуальных машин, объема используемой
-требуемых условий обеспечения непрерывности функционирования
+оперативной памяти, подключаемых виртуальных и физических носителей
-информационной системы и доступности информации;
+информации;
-) оператором должно осуществляться пространственное
+) контроль доступа субъектов доступа к изолированному адресному
-(географическое) разнесение мест хранения носителей резервных копий
+пространству в памяти гипервизора, в памяти хостовой операционной системы,
-информации и мест расположения оригиналов этой информации.
+виртуальных машин и (или) иных объектов доступа.
-Содержание базовой меры ОДТ.4:
+Содержание базовой меры ЗСВ.2:
 Мера защиты
@@ Строка 3953: / Строка 3229: @@
 Класс защищенности информационной системы
 3 2 1
-ОДТ.4
+ЗСВ.2 + + + +
- + +
+Усиление
-Усиление ОДТ.4
+ЗСВ.2
-, 2 1, 3
+, 2 1, 2 1, 2
-ОДТ.5 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ
+ЗСВ.3 РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ В
-ИНФОРМАЦИИ С РЕЗЕРВНЫХ МАШИННЫХ НОСИТЕЛЕЙ
+ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ
-ИНФОРМАЦИИ (РЕЗЕРВНЫХ КОПИЙ) В ТЕЧЕНИЕ УСТАНОВЛЕННОГО
-ВРЕМЕННОГО ИНТЕРВАЛА
-Требования к реализации ОДТ.5: Оператором должноа быть
+Требования к реализации ЗСВ.3: В информационной системе должна
-обеспечена возможность восстановления информации с резервных машинных
+обеспечиваться регистрация событий безопасности в виртуальной
-носителей информации (резервных копий) в течение установленного
+инфраструктуре в соответствии с РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5.
-оператором временного интервала.
+При реализации мер по регистрации событий безопасности в виртуальной
-Восстановление информации с резервных машинных носителей
+инфраструктуре дополнительно к событиям, установленным в РСБ.1, должны
-информации (резервных копий) должно предусматривать:
+подлежать регистрации следующие события:
-определение времени, в течение которого должно быть обеспечено
+запуск (завершение) работы компонентов виртуальной инфраструктуры;
-восстановление информации и обеспечивающего требуемые условия
+доступ субъектов доступа к компонентам виртуальной инфраструктуры;
-непрерывности функционирования информационной системы и доступности
+изменения в составе и конфигурации компонентов виртуальной
-информации;
+инфраструктуры во время их запуска, функционирования и аппаратного
-восстановление информации с резервных машинных носителей
+отключения;
-информации (резервных копий) в течение установленного оператором
+изменений правил разграничения доступа к компонентам виртуальной
-временного интервала; 95
+инфраструктуры.
+При регистрации запуска (завершения) работы компонентов виртуальной
+инфраструктуры состав и содержание информации, подлежащей регистрации,
+должны включать дату и время запуска (завершения) работы гипервизора и
+виртуальных машин, хостовой операционной системы, программ и процессов в
+виртуальных машинах, результат запуска (завершения) работы указанных
+компонентов виртуальной инфраструктуры (успешная или неуспешная),
+идентификатор пользователя, предъявленный при попытке запуска
+(завершения) работы указанных компонентов виртуальной инфраструктуры.
+При регистрации входа (выхода) субъектов доступа в компоненты
+виртуальной инфраструктуры состав и содержание информации, подлежащей
+регистрации, должны включать дату и время доступа субъектов доступа к
+гипервизору и виртуальной машине, к хостовой операционной системе,
+результат попытки доступа субъектов доступа к указанным компонентам
+виртуальной инфраструктуры (успешная или неуспешная), идентификатор
+пользователя, предъявленный при попытке доступа субъектов доступа к
+указанным компонентам виртуальной инфраструктуры.
+При изменении в составе и конфигурации компонентов виртуальной
+инфраструктуры во время запуска, функционирования и в период её
+аппаратного отключения состав и содержание информации, подлежащей 102
-регистрация событий, связанных восстановлением информации с
+регистрации, должны включать дату и время изменения в составе и
-резервных машинных носителей информации.
+конфигурации виртуальных машин, виртуального аппаратного обеспечения,
+виртуализированного программного обеспечения, виртуального аппаратного
-Требования к усилению ОДТ.5:
+обеспечения в гипервизоре и в виртуальных машинах, в хостовой
-) оператором должна обеспечиваться возможность восстановления
+операционной системе, виртуальном сетевом оборудовании, результат попытки
-информации с учетом нагруженного («горячего») резервирования технических
+изменения в составе и конфигурации указанных компонентов виртуальной
-средств в соответствии с ОДТ.2;
+инфраструктуры (успешная или неуспешная), идентификатор пользователя,
-) в информационной системе должно осуществляться предоставление
+предъявленный при попытке изменения в составе и конфигурации указанных
-пользователям резервных мест обработки информации в соответствии с ОДТ.2
+компонентов виртуальной инфраструктуры.
-до восстановления из резервных копий информации и обеспечения ее
+При изменении правил разграничения доступа к компонентам
-доступности на основных местах обработки информации.
+виртуальной инфраструктуры состав и содержание информации, подлежащей
+регистрации, должны включать дату и время изменения правил разграничения
+доступа к виртуальному и физическому аппаратному обеспечению, к файлам-
+образам виртуализированного программного обеспечения и виртуальных
+машин, к файлам-образам, используемым для обеспечения работы виртуальных
+файловых систем, к виртуальному сетевому оборудованию, к защищаемой
+информации, хранимой и обрабатываемой в гипервизоре и виртуальных
+машинах, в хостовой операционной системе, результат попытки изменения
+правил разграничения доступа к указанным компонентам виртуальной
+инфраструктуры (успешная или неуспешная), идентификатор пользователя,
+предъявленный при попытке изменения правил разграничения доступа к
+указанным компонентам виртуальной инфраструктуры.
+Требования к усилению ЗСВ.3:
+) в информационной системе должен обеспечиваться централизованный
+сбор, хранение и анализ информации о зарегистрированных событиях
+безопасности виртуальной инфраструктуры;
+) в информационной системе при регистрации запуска (завершения)
+работы компонентов виртуальной инфраструктуры состав и содержание
+информации, подлежащей регистрации, должны включать дату и время запуска
+(завершения) программ и процессов в гипервизоре и хостовой операционной
+системе;
+) в информационной системе должна обеспечиваться регистрация
+событий безопасности, связанных с перемещением и размещением
+виртуальных машин.
-Содержание базовой меры ОДТ.5:
+Содержание базовой меры ЗСВ.3:
 Мера защиты
@@ Строка 3996: / Строка 3313: @@
 Класс защищенности информационной системы
 3 2 1
-ОДТ.5
+ЗСВ.3
-  + +
+  + + +
-Усиление ОДТ.5
+Усиление
+ЗСВ.3
-ОДТ.6 КЛАСТЕРИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ И (ИЛИ)
-ЕЕ СЕГМЕНТОВ
-Требования к реализации ОДТ.6: В информационной системе
+ЗСВ.4 УПРАВЛЕНИЕ (ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ,
-обеспечивается выделение групп однотипных узлов, объединенных каналами
+КОНТРОЛЬ СОЕДИНЕНИЯ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА)
-передачи информации и рассматриваемых как единый программно-
+ПОТОКАМИ ИНФОРМАЦИИ МЕЖДУ КОМПОНЕНТАМИ ВИРТУАЛЬНОЙ
-технический ресурс, информационной системы в целом и (или) отдельных ее
+ИНФРАСТРУКТУРЫ, А ТАКЖЕ ПО ПЕРИМЕТРУ ВИРТУАЛЬНОЙ
-сегментов (серверов приложений, файловых серверов, серверов баз данных,
+ИНФРАСТРУКТУРЫ
-средств защиты информации и иных сегментов.) для обеспечения доступности
-информации, сервисов и механизмов защиты информации.
-Требования к усилению ОДТ.6:
+Требования к реализации ЗСВ.4: В информационной системе должно
-) в информационной системе должна осуществляться кластеризация
+осуществляться управление потоками информации между компонентами
-серверов контроллеров доменов, серверов резервного копирования, серверов
+виртуальной инфраструктуры и по периметру виртуальной инфраструктуры в
-управления и мониторинга состояния информационной системы, серверов
+соответствии с УПД.3, ЗИС.3.
-виртуальной инфраструктуры и иных основных устройств и программного
+При реализации мер по управлению потоками информации между
-обеспечения системного уровня;
+компонентами виртуальной инфраструктуры должны обеспечиваться:
-) в информационной системе должна осуществляться кластеризация
+фильтрация сетевого трафика между компонентами виртуальной
-серверов приложений, файловых серверов, серверов баз данных, почтовых
+инфраструктуры, в том числе между внешними по отношению к серверу
-серверов и иных устройств и программного обеспечения прикладного уровня;
+виртуализации сетями и внутренними по отношению к серверу виртуализации
-) в информационной системе должна осуществляться кластеризация
+сетями, в том числе при организации сетевого обмена с сетями связи общего
-средств защиты информации (в случаях, когда это технически возможно), 96
+пользования;
+обеспечение доверенных канала, маршрута внутри виртуальной
+инфраструктуры между администратором, пользователем и средствами защиты
+информации (функциями безопасности);
+автоматическое изменение маршрутов передачи сетевых пакетов между
+компонентами виртуальной инфраструктуры внутри гипервизора, сетевого
+трафика внутри виртуальной вычислительной сети;
+контроль передачи служебных информационных сообщений,
+передаваемых в виртуальных сетях гипервизора, хостовой операционной
+системы, по составу, объёму и иным характеристикам;
+отключение неиспользуемых сетевых протоколов компонентами
+виртуальной инфраструктуры гипервизора, хостовой операционной системы,
+виртуальной вычислительной сети;
+обеспечение подлинности сетевых соединений (сеансов взаимодействия)
+внутри виртуальной инфраструктуры, в том числе для защиты от подмены
+сетевых устройств и сервисов;
+обеспечение изоляции потоков данных, передаваемых и обрабатываемых
+компонентами виртуальной инфраструктуры (гипервизором, хостовой
+операционной системой) и сетевых потоков виртуальной вычислительной сети;
+семантический и статистический анализ сетевого трафика виртуальной
+вычислительной сети.
-включая средства межсетевого экранирования, средства защиты каналов
+Требования к усилению ЗСВ.4:
-передачи информации.
+) в информационной системе, построенной с применением технологии
+виртуализации, должна быть обеспечена единая точка подключения к
+виртуальной инфраструктуре (при необходимости резервирования каналов
+связи, точка подключения должна рассматриваться как комплексное решение, 104
-Содержание базовой меры ОДТ.6:
+включающее в себя средства взаимодействия с основным и резервными
+каналами связи);
-Мера защиты
+) фильтрация сетевого трафика от (к) каждой гостевой операционной
-информации
+системы, в виртуальных сетях гипервизора и для каждой виртуальной машины;
-Класс защищенности информационной системы
+) в информационной системе должен обеспечиваться запрет прямого (с
-3 2 1
+использованием механизмов, встроенных в средства виртуализации)
-ОДТ.6
+взаимодействия виртуальных машин между собой; для служебных данных
+должен обеспечиваться контроль прямого взаимодействия виртуальных машин
-Усиление ОДТ.6
+между собой;
+) в информационной системе в соответствии с законодательством
+Российской Федерации применяются криптографические методы защиты
+информации конфиденциального характера, передаваемой по виртуальным и
+физическим каналам связи гипервизора, хостовой операционной системы;
+) в информационной системе при реализации мер по управлению
+потоками информации между компонентами виртуальной инфраструктуры
+должны обеспечиваться семантический и статистический анализ сетевого
+трафика;
+) определение перечня протоколов и портов (включая динамически
+выделяемые порты), необходимых для работы приложений и сервисов в рамках
+виртуальной инфраструктуры;
+) определение перечня протоколов и портов (включая динамически
+выделяемые порты), необходимых для работы приложений и сервисов между
+виртуальной инфраструктурой и сетями, являющимися внешними по
+отношению к виртуальной инфраструктуре.
+Содержание базовой меры ЗСВ.4:
+Мера защиты
+информации
+Класс защищенности информационной системы
+3 2 1
+ЗСВ.4
+ + +
+Усиление
+ЗСВ.4
+, 2
-ОДТ.7 КОНТРОЛЬ СОСТОЯНИЯ И КАЧЕСТВА ПРЕДОСТАВЛЕНИЯ
-УПОЛНОМОЧЕННЫМ ЛИЦОМ ВЫЧИСЛИТЕЛЬНЫХ РЕСУРСОВ
-(МОЩНОСТЕЙ), В ТОМ ЧИСЛЕ ПО ПЕРЕДАЧЕ ИНФОРМАЦИИ
-Требования к реализации ОДТ.7: Оператором должен осуществляться
+ЗСВ.5 ДОВЕРЕННАЯ ЗАГРУЗКА СЕРВЕРОВ ВИРТУАЛИЗАЦИИ,
-контроль состояния и качества предоставления уполномоченным лицом
+ВИРТУАЛЬНОЙ МАШИНЫ (КОНТЕЙНЕРА), СЕРВЕРОВ УПРАВЛЕНИЯ
-(провайдером) вычислительных ресурсов (мощностей), в том числе по передаче
+ВИРТУАЛИЗАЦИЕЙ
-информации, предусматривающий:
-контроль выполнения уполномоченным лицом требований о защите
+Требования к реализации ЗСВ.5: В информационной системе должны
-информации, установленных законодательством Российской Федерации и
+обеспечиваться доверенная загрузка серверов виртуализации, виртуальных
-условиями договора (соглашения), на основании которого уполномоченное
+машин (контейнеров) и серверов управления виртуализацией в соответствии с
-лицо обрабатывает информацию или предоставляет вычислительные ресурсы
+УПД.17. 105
-(мощности);
-мониторинг состояния и качества предоставления уполномоченным
-лицом (провайдером) вычислительных ресурсов (мощностей);
-мониторинг состояния и качества предоставления уполномоченным
-лицом (провайдером) услуг по передаче информации.
-Условия, права и обязанности, содержание и порядок контроля должны
-определяться в договоре (соглашении), заключаемом между оператором и
-уполномоченным лицом на предоставление вычислительных ресурсов
-(мощностей) или передачу информации с использованием информационно-
-телекоммуникационных сетей связи.
-Требования к усилению ОДТ.7:
+Доверенная загрузка должна обеспечивать блокирование попыток
-) между оператором и поставщиком услуг (телекоммуникационных,
+несанкционированной загрузки гипервизора, хостовой и гостевых
-вычислительных) должно заключаться соглашение об уровне услуг,
+операционных систем.
-содержащее описание услуг, прав и обязанностей сторон и согласованный
+Доверенная загрузка гипервизоров обеспечивается с использованием
-уровень качества предоставляемых услуг в соответствии с законодательством
+средств доверенной загрузки функционирующих на серверах виртуализации.
-Российской Федерации.
+Доверенная загрузка виртуальных машин (контейнеров) обеспечивается с
+использованием многокомпонентных средств доверенной загрузки, отдельные
+компоненты которых функционируют в гипервизорах.
+Требования к усилению ЗСВ.5:
+) должна обеспечиваться доверенная загрузка автоматизированных
+рабочих мест администраторов управления средствами виртуализации.
+Содержание базовой меры ЗСВ.5:
-Содержание базовой меры ОДТ.7:
 Мера защиты
@@ Строка 4079: / Строка 3431: @@
 Класс защищенности информационной системы
 3 2 1
-ОДТ.7
+ЗСВ.5
- + +
-Усиление ОДТ.7
+Усиление
+ЗСВ.5
-==3.11. ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ (ЗСВ) ==
+ЗСВ.6 УПРАВЛЕНИЕ ПЕРЕМЕЩЕНИЕМ ВИРТУАЛЬНЫХ МАШИН
+(КОНТЕЙНЕРОВ) И ОБРАБАТЫВАЕМЫХ НА НИХ ДАННЫХ
-ЗСВ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ
+Требования к реализации ЗСВ.6: Оператором должно обеспечиваться
-ДОСТУПА И ОБЪЕКТОВ ДОСТУПА В ВИРТУАЛЬНОЙ
+управление перемещением виртуальных машин (контейнеров) и
-ИНФРАСТРУКТУРЕ, В ТОМ ЧИСЛЕ АДМИНИСТРАТОРОВ УПРАВЛЕНИЯ
+обрабатываемых на них данных.
-СРЕДСТВАМИ ВИРТУАЛИЗАЦИИ
+При управлении перемещением виртуальных машин (контейнеров) и
+обрабатываемых на них данных должны обеспечиваться;
+регламентирование порядка перемещения (определение ответственных за
+организацию процесса, объектов перемещения, ресурсов инфраструктуры,
+задействованных в перемещении, а также способов перемещения);
+управление размещением и перемещением файлов-образов виртуальных
+машин (контейнеров) между носителями (системами хранения данных);
+управление размещением и перемещением исполняемых виртуальных
+машин (контейнеров) между серверами виртуализации;
+управление размещением и перемещением данных, обрабатываемых с
+использованием виртуальных машин, между носителями (системами хранения
+данных).
+Управление перемещением виртуальных машин (контейнеров) должно
+предусматривать:
+полный запрет перемещения виртуальных машин (контейнеров); 106
+ограничение перемещения виртуальных машин (контейнеров) в пределах
+информационной системы (сегмента информационной системы);
+или ограничение перемещения виртуальных машин (контейнеров) между
+сегментами информационной системы.
+Оператором должно обеспечиваться перемещение виртуальных машин
+(контейнеров) и обрабатываемых на них данных в пределах информационной
+системы только на контролируемые им (или уполномоченным лицом)
+технические средства (сервера виртуализации, носители, системы хранения
+данных).
-Требования к реализации ЗСВ.1: В информационной системе должны
+Требования к усилению ЗСВ.6:
-обеспечиваться идентификация и аутентификация субъектов доступа и
+) оператором должно обеспечиваться перемещение виртуальных машин
-объектов доступа в виртуальной инфраструктуре, в том числе администраторов
+(контейнеров) и обрабатываемых на них данных в пределах информационной
-управления средствами виртуализации, в соответствии с ИАФ.1, ИАФ.2,
+системы только на контролируемые им технические средства (сервера
-ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7.
+виртуализации, носители, системы хранения данных);
-Виртуальная инфраструктура включает среду виртуализации
+) оператором должна осуществляться обработка отказов перемещения
-(программное обеспечение, служебные данные компонентов виртуальной
+виртуальных машин (контейнеров) и обрабатываемых на них данных;
-инфраструктуры) и аппаратное обеспечение (аппаратные средства,
+) в информационной системе должны использоваться механизмы
-необходимые для функционирования среды виртуализации, в том числе
+централизованного управления перемещением виртуальных машин
-средства резервного копирования и защиты информации).
+(контейнеров) и обрабатываемых на них данных;
-В качестве компонентов виртуальной инфраструктуры необходимо, как
+) в информационной системе должна быть обеспечена непрерывность
-минимум, рассматривать серверное оборудование, аппаратное обеспечение
+регистрации событий безопасности в виртуальных машинах (контейнерах) в
-консолей управления, оборудование хранения данных, сетевое оборудование,
+процессе перемещения;
-гипервизор, хостовую операционную систему (если применимо), виртуальные
+) в информационной системе должна осуществляться очистка
-машины, программную среду виртуальных машин (в том числе их
+освобождаемых областей памяти на серверах виртуализации, носителях,
-операционные системы и программное обеспечение), виртуальное аппаратное
+системах хранения данных при перемещении виртуальных машин
-обеспечение, виртуализированное программное обеспечение (виртуальные
+(контейнеров) и обрабатываемых на них данных.
-машины с предустановленным программным обеспечением, предназначенным
-для выполнения определенных функций в виртуальной инфраструктуре),
-программное обеспечение управления виртуальной инфраструктурой (в том
-числе гипервизором, настройками виртуальных машин, миграцией
-виртуальных машин, балансировкой нагрузки), служебные данные
-компонентов виртуальной инфраструктуры (настройки и иные служебные
-данные), средства резервного компонентов среды виртуализации и средства
-защиты информации, используемые в рамках виртуальных машин и
-виртуальной инфраструктуры в целом.
-В качестве объектов доступа в виртуальной инфраструктуре необходимо,
-как минимум, рассматривать программное обеспечение управления
-виртуальной инфраструктурой, гипервизор, хостовую операционную систему
-(если применимо), виртуальные машины, программную среду виртуальных
-машин (в том числе их операционные системы и программное обеспечение),
-виртуальные контейнеры (зоны), виртуализированное программное
-обеспечение (виртуальные машины с предустановленным программным
-обеспечением, предназначенная для выполнения определенных функций в
-виртуальной инфраструктуре), средства защиты информации, используемые в
-рамках виртуальных машин и виртуальной инфраструктуры в целом. 99
-При реализации мер по идентификации и аутентификации субъектов
+Содержание базовой меры ЗСВ.6:
-доступа и объектов доступа в виртуальной инфраструктуре должны
-обеспечиваться:
-идентификация и аутентификация администраторов управления
-средствами виртуализации;
-идентификация и аутентификация субъектов доступа при их локальном и
-удалённом обращении к объектам доступа в виртуальной инфраструктуре;
-блокировка доступа к компонентам виртуальной инфраструктуры для
-субъектов доступа, не прошедших процедуру аутентификации;
-защита аутентификационной информации субъектов доступа, хранящейся
-в компонентах виртуальной инфраструктуры от неправомерных доступа к ней,
-уничтожения или модифицирования;
-защита аутентификационной информации в процессе ее ввода для
-аутентификации в виртуальной инфраструктуре от возможного использования
-лицами, не имеющими на это полномочий;
-идентификация и аутентификация субъектов доступа при осуществлении
-ими попыток доступа к средствам управления параметрами аппаратного
-обеспечения виртуальной инфраструктуры.
-Внутри развернутых на базе виртуальной инфраструктуры виртуальных
-машин должна быть также обеспечена реализация мер по идентификации и
-аутентификации субъектов и объектов доступа в соответствии с ИАФ.1 –
-ИАФ.10.
-Требования к усилению ЗСВ.1:
-) в информационной системе должны обеспечиваться взаимная
-идентификация и аутентификация пользователя и сервера виртуализации
-(виртуальных машин) при удалённом доступе.
-Содержание базовой меры ЗСВ.1:
 Мера защиты
@@ Строка 4165: / Строка 3494: @@
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.1 + + + +
+ЗСВ.6
+ + +
 Усиление
-ЗСВ.1
+ЗСВ.6
-1
+1, 2
+ЗСВ.7 КОНТРОЛЬ ЦЕЛОСТНОСТИ ВИРТУАЛЬНОЙ
+ИНФРАСТРУКТУРЫ И ЕЕ КОНФИГУРАЦИЙ
-ЗСВ.2 УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К
+Требования к реализации ЗСВ.7: В информационной системе должен
-ОБЪЕКТАМ ДОСТУПА В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ, В ТОМ
+обеспечиваться контроль целостности компонентов виртуальной
-ЧИСЛЕ ВНУТРИ ВИРТУАЛЬНЫХ МАШИН
+инфраструктуры в соответствии с ОЦЛ.1.
+При реализации мер по контролю целостности компонентов виртуальной
+инфраструктуры должны обеспечиваться: 107
-Требования к реализации ЗСВ.2: В информационной системе должно
+контроль целостности компонентов, критически важных для
-обеспечиваться управление доступом субъектов доступа к объектам доступа, в 100
+функционирования хостовой операционной системы, гипервизора, гостевых
+операционных систем и (или) обеспечения безопасности обрабатываемой в них
+информации (загрузчика, системных файлов, библиотек операционной системы
+и иных компонентов);
+контроль целостности состава и конфигурации виртуального
+оборудования;
+контроль целостности файлов, содержащих параметры настройки
+виртуализированного программного обеспечения и виртуальных машин;
+контроль целостности файлов-образов виртуализированного
+программного обеспечения и виртуальных машин, файлов-образов,
+используемых для обеспечения работы виртуальных файловых систем
+(контроль файлов-образов должен проводиться во время, когда файлы-образы
+не задействованы).
+В информационной системе должен обеспечиваться контроль
+целостности резервных копий виртуальных машин (контейнеров).
-том числе внутри виртуальных машин, в соответствии с УПД.1, УПД.2, УПД.4,
+Требования к усилению ЗСВ.7:
-УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13.
+) в информационной системе должен обеспечиваться контроль
-При реализации мер по управлению доступом субъектов доступа к
+целостности базовой системы ввода-вывода вычислительных серверов и
-объектам доступа в виртуальной инфраструктуре должны обеспечиваться:
+консолей управления виртуальной инфраструктуры;
-контроль доступа субъектов доступа к средствам управления
+) в информационной системе должен обеспечиваться контроль
-компонентами виртуальной инфраструктуры;
+целостности микропрограмм и служебных данных элементов аппаратной части
-контроль доступа субъектов доступа к файлам-образам
+виртуальной инфраструктуры (в том числе загрузочных записей машинных
-виртуализированного программного обеспечения, виртуальных машин,
+носителей информации);
-файлам-образам, служебным данным, используемым для обеспечения работы
+) контроль состава аппаратной части компонентов виртуальной
-виртуальных файловых систем, и иным служебным данным средств
+инфраструктуры;
-виртуальной среды;
+) контроль целостности программного обеспечения облачных клиентов.
-управление доступом к виртуальному аппаратному обеспечению
-информационной системы, являющимся объектом доступа;
-контроль запуска виртуальных машин на основе заданных оператором
-правил (режима запуска, типа используемого носителя и иных правил).
-Кроме того меры по управлению доступом субъектов доступа к объектам
-доступа должны обеспечивать:
-разграничение доступа субъектов доступа, зарегистрированных на
-виртуальных машинах, к объектам доступа, расположенным внутри
-виртуальных машин, в соответствии с правилами разграничения доступа
-пользователей данных виртуальных машин (потребителей облачных услуг);
-разграничение доступа субъектов доступа, зарегистрированных на
-виртуальных машинах, к ресурсам информационной системы, размещенным за
-пределами виртуальных машин, в соответствии с правилами разграничения
-доступа принятыми в информационной системе в целом.
-Требования к усилению ЗСВ.2:
+Содержание базовой меры ЗСВ.7:
-) в информационной системе должен обеспечиваться доступ к
-операциям, выполняемым с помощью средств управления виртуальными
-машинами, в том числе к операциям создания, запуска, останова, создания
-копий, удаления виртуальных машин должен быть разрешен только
-администраторам виртуальной инфраструктуры;
-) в информационной системе должен обеспечиваться доступ к
-конфигурации виртуальных машин только администраторам виртуальной
-инфраструктуры;
-) администратор виртуальной инфраструктуры определяет ограничения
-по изменению состава устройств виртуальных машин, объема используемой
-оперативной памяти, подключаемых виртуальных и физических носителей
-информации;
-) контроль доступа субъектов доступа к изолированному адресному
-пространству в памяти гипервизора, в памяти хостовой операционной системы,
-виртуальных машин и (или) иных объектов доступа.
-Содержание базовой меры ЗСВ.2:
 Мера защиты
@@ Строка 4228: / Строка 3544: @@
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.2 + + + +
+ЗСВ.7
+ + +
 Усиление
-ЗСВ.2
+ЗСВ.7
-, 2 1, 2 1, 2
+1, 3
-ЗСВ.3 РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ В
+ЗСВ.8 РЕЗЕРВНОЕ КОПИРОВАНИЕ ДАННЫХ, РЕЗЕРВИРОВАНИЕ
-ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ
+ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
+ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ, А ТАКЖЕ КАНАЛОВ СВЯЗИ
+ВНУТРИ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ
-Требования к реализации ЗСВ.3: В информационной системе должна
+Требования к реализации ЗСВ.8: В информационной системе должны
-обеспечиваться регистрация событий безопасности в виртуальной
+обеспечиваться резервное копирование данных, резервирование технических
-инфраструктуре в соответствии с РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5.
+средств, программного обеспечения виртуальной инфраструктуры и каналов
-При реализации мер по регистрации событий безопасности в виртуальной
+связи внутри виртуальной инфраструктуры в соответствии с ОДТ.2, ОДТ.4,
-инфраструктуре дополнительно к событиям, установленным в РСБ.1, должны
+ОДТ.5.
-подлежать регистрации следующие события:
+При реализации мер по резервному копированию данных,
-запуск (завершение) работы компонентов виртуальной инфраструктуры;
+резервированию технических средств, программного обеспечения виртуальной
-доступ субъектов доступа к компонентам виртуальной инфраструктуры;
+инфраструктуры должны обеспечиваться:
-изменения в составе и конфигурации компонентов виртуальной
+определение мест хранения резервных копий виртуальных машин
-инфраструктуры во время их запуска, функционирования и аппаратного
+(контейнеров) и данных, обрабатываемых в виртуальной инфраструктуре;
-отключения;
+резервное копирование виртуальных машин (контейнеров);
-изменений правил разграничения доступа к компонентам виртуальной
+резервное копирование данных, обрабатываемых в виртуальной
-инфраструктуры.
+инфраструктуре;
-При регистрации запуска (завершения) работы компонентов виртуальной
+резервирование программного обеспечения виртуальной
-инфраструктуры состав и содержание информации, подлежащей регистрации,
+инфраструктуры;
-должны включать дату и время запуска (завершения) работы гипервизора и
+резервирование каналов связи, используемых в виртуальной
-виртуальных машин, хостовой операционной системы, программ и процессов в
+инфраструктуре;
-виртуальных машинах, результат запуска (завершения) работы указанных
+периодическая проверка резервных копий и возможности восстановления
-компонентов виртуальной инфраструктуры (успешная или неуспешная),
+виртуальных машин (контейнеров) и данных, обрабатываемых в виртуальной
-идентификатор пользователя, предъявленный при попытке запуска
+инфраструктуре с использованием резервных копий.
-(завершения) работы указанных компонентов виртуальной инфраструктуры.
-При регистрации входа (выхода) субъектов доступа в компоненты
-виртуальной инфраструктуры состав и содержание информации, подлежащей
-регистрации, должны включать дату и время доступа субъектов доступа к
-гипервизору и виртуальной машине, к хостовой операционной системе,
-результат попытки доступа субъектов доступа к указанным компонентам
-виртуальной инфраструктуры (успешная или неуспешная), идентификатор
-пользователя, предъявленный при попытке доступа субъектов доступа к
-указанным компонентам виртуальной инфраструктуры.
-При изменении в составе и конфигурации компонентов виртуальной
-инфраструктуры во время запуска, функционирования и в период её
-аппаратного отключения состав и содержание информации, подлежащей 102
-регистрации, должны включать дату и время изменения в составе и
+Требования к усилению ЗСВ.8:
-конфигурации виртуальных машин, виртуального аппаратного обеспечения,
+) в информационной системе должно выполняться резервное
-виртуализированного программного обеспечения, виртуального аппаратного
+копирование конфигурации виртуальной инфраструктуры;
-обеспечения в гипервизоре и в виртуальных машинах, в хостовой
+) в информационной системе должно выполняться резервное
-операционной системе, виртуальном сетевом оборудовании, результат попытки
+копирование программного обеспечения серверов управления виртуализацией,
-изменения в составе и конфигурации указанных компонентов виртуальной
+автоматизированного рабочего места администратора управления средствами
-инфраструктуры (успешная или неуспешная), идентификатор пользователя,
+виртуализации;
-предъявленный при попытке изменения в составе и конфигурации указанных
+) в информационной системе должно выполняться резервирование
-компонентов виртуальной инфраструктуры.
+дистрибутивов средств построения виртуальной инфраструктуры (в том числе
-При изменении правил разграничения доступа к компонентам
+средств управления виртуальной инфраструктурой);
-виртуальной инфраструктуры состав и содержание информации, подлежащей
+) в информационной системе должно обеспечиваться резервирование
-регистрации, должны включать дату и время изменения правил разграничения
+технических средств для серверов виртуализации, серверов управления
-доступа к виртуальному и физическому аппаратному обеспечению, к файлам-
+виртуализацией, автоматизированного рабочего места администратора
-образам виртуализированного программного обеспечения и виртуальных
+управления средствами виртуализации;
-машин, к файлам-образам, используемым для обеспечения работы виртуальных
+) в информационной системе должно обеспечиваться резервирование
-файловых систем, к виртуальному сетевому оборудованию, к защищаемой
+технических средств систем хранения данных и их компонент, используемых в
-информации, хранимой и обрабатываемой в гипервизоре и виртуальных
+виртуальной инфраструктуре; 109
-машинах, в хостовой операционной системе, результат попытки изменения
-правил разграничения доступа к указанным компонентам виртуальной
-инфраструктуры (успешная или неуспешная), идентификатор пользователя,
-предъявленный при попытке изменения правил разграничения доступа к
-указанным компонентам виртуальной инфраструктуры.
-Требования к усилению ЗСВ.3:
+) в информационной системе должно обеспечиваться резервирование
-) в информационной системе должен обеспечиваться централизованный
+технических средств активного (коммутационного) и пассивного оборудования
-сбор, хранение и анализ информации о зарегистрированных событиях
+каналов связи, используемых в виртуальной инфраструктуре;
-безопасности виртуальной инфраструктуры;
+) в информационной системе должно обеспечиваться применение
-) в информационной системе при регистрации запуска (завершения)
+технологий распределенного хранения информации и восстановления
-работы компонентов виртуальной инфраструктуры состав и содержание
+информации после сбоев для обеспечения отказоустойчивости виртуальной
-информации, подлежащей регистрации, должны включать дату и время запуска
+инфраструктуры.
-(завершения) программ и процессов в гипервизоре и хостовой операционной
-системе;
-) в информационной системе должна обеспечиваться регистрация
-событий безопасности, связанных с перемещением и размещением
-виртуальных машин.
-Содержание базовой меры ЗСВ.3:
+Содержание базовой меры ЗСВ.8:
 Мера защиты
@@ Строка 4312: / Строка 3610: @@
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.3
+ЗСВ.8
-  + + +
+  + +
 Усиление
-ЗСВ.3
+ЗСВ.8
+, 2, 3
+ЗСВ.9 РЕАЛИЗАЦИЯ И УПРАВЛЕНИЕ АНТИВИРУСНОЙ ЗАЩИТОЙ
+В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ
-ЗСВ.4 УПРАВЛЕНИЕ (ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ,
+Требования к реализации ЗСВ.9: В информационной системе должны
-КОНТРОЛЬ СОЕДИНЕНИЯ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА)
+обеспечиваться реализация и управление антивирусной защитой в виртуальной
-ПОТОКАМИ ИНФОРМАЦИИ МЕЖДУ КОМПОНЕНТАМИ ВИРТУАЛЬНОЙ
+инфраструктуре в соответствии с АВЗ.1, АВЗ.2.
-ИНФРАСТРУКТУРЫ, А ТАКЖЕ ПО ПЕРИМЕТРУ ВИРТУАЛЬНОЙ
+При реализации мер по реализации и управлению антивирусной защитой
-ИНФРАСТРУКТУРЫ
+в виртуальной инфраструктуре должны обеспечиваться:
+проверка наличия вредоносных программ (вирусов) в хостовой
+операционной системе, включая контроль файловой системы, памяти,
+запущенных приложений и процессов;
+проверка наличия вредоносных программ в гостевой операционной
+системе, в процессе ее функционирования, включая контроль файловой
+системы, памяти, запущенных приложений и процессов.
+Требования к усилению ЗСВ.9:
+) в информационной системе должно обеспечиваться разграничение
+доступа к управлению средствами антивирусной защиты;
+) в информационной системе должен обеспечиваться контроль
+функционирования средств антивирусной защиты в виртуальной
+инфраструктуре, в том числе маршрутизация потоков информации в
+виртуальной инфраструктуре через средство антивирусной защиты;
+) в информационной системе должна обеспечиваться реализация
+технологии обновления программного обеспечения и баз данных признаков
+компьютерных вирусов средств антивирусной защиты, предусматривающая
+однократную передачу обновлений на сервер виртуальной инфраструктуры для
+их последующего применения в виртуальных машинах; 110
-Требования к реализации ЗСВ.4: В информационной системе должно
+) в информационной системе должна обеспечиваться проверка наличия
-осуществляться управление потоками информации между компонентами
+вредоносных программ (вирусов) в гипервизоре;
-виртуальной инфраструктуры и по периметру виртуальной инфраструктуры в
+) в информационной системе должна обеспечиваться проверка наличия
-соответствии с УПД.3, ЗИС.3.
+вредоносных программ в файлах конфигурации виртуального оборудования;
-При реализации мер по управлению потоками информации между
+) в информационной системе должна обеспечиваться проверка наличия
-компонентами виртуальной инфраструктуры должны обеспечиваться:
+вредоносных программ в файлах-образах виртуализированного программного
-фильтрация сетевого трафика между компонентами виртуальной
+обеспечения и виртуальных машин.
-инфраструктуры, в том числе между внешними по отношению к серверу
-виртуализации сетями и внутренними по отношению к серверу виртуализации
-сетями, в том числе при организации сетевого обмена с сетями связи общего
-пользования;
-обеспечение доверенных канала, маршрута внутри виртуальной
-инфраструктуры между администратором, пользователем и средствами защиты
-информации (функциями безопасности);
-автоматическое изменение маршрутов передачи сетевых пакетов между
-компонентами виртуальной инфраструктуры внутри гипервизора, сетевого
-трафика внутри виртуальной вычислительной сети;
-контроль передачи служебных информационных сообщений,
-передаваемых в виртуальных сетях гипервизора, хостовой операционной
-системы, по составу, объёму и иным характеристикам;
-отключение неиспользуемых сетевых протоколов компонентами
-виртуальной инфраструктуры гипервизора, хостовой операционной системы,
-виртуальной вычислительной сети;
-обеспечение подлинности сетевых соединений (сеансов взаимодействия)
-внутри виртуальной инфраструктуры, в том числе для защиты от подмены
-сетевых устройств и сервисов;
-обеспечение изоляции потоков данных, передаваемых и обрабатываемых
-компонентами виртуальной инфраструктуры (гипервизором, хостовой
-операционной системой) и сетевых потоков виртуальной вычислительной сети;
-семантический и статистический анализ сетевого трафика виртуальной
-вычислительной сети.
-Требования к усилению ЗСВ.4:
+Содержание базовой меры ЗСВ.9:
-) в информационной системе, построенной с применением технологии
-виртуализации, должна быть обеспечена единая точка подключения к
-виртуальной инфраструктуре (при необходимости резервирования каналов
-связи, точка подключения должна рассматриваться как комплексное решение, 104
-включающее в себя средства взаимодействия с основным и резервными
+Мера защиты
-каналами связи);
+информации
-) фильтрация сетевого трафика от (к) каждой гостевой операционной
+Класс защищенности информационной системы
-системы, в виртуальных сетях гипервизора и для каждой виртуальной машины;
+3 2 1
-) в информационной системе должен обеспечиваться запрет прямого (с
+ЗСВ.9
-использованием механизмов, встроенных в средства виртуализации)
+ + + +
-взаимодействия виртуальных машин между собой; для служебных данных
+Усиление
-должен обеспечиваться контроль прямого взаимодействия виртуальных машин
+ЗСВ.9
-между собой;
+1
-) в информационной системе в соответствии с законодательством
-Российской Федерации применяются криптографические методы защиты
-информации конфиденциального характера, передаваемой по виртуальным и
-физическим каналам связи гипервизора, хостовой операционной системы;
-) в информационной системе при реализации мер по управлению
-потоками информации между компонентами виртуальной инфраструктуры
-должны обеспечиваться семантический и статистический анализ сетевого
-трафика;
-) определение перечня протоколов и портов (включая динамически
-выделяемые порты), необходимых для работы приложений и сервисов в рамках
-виртуальной инфраструктуры;
-) определение перечня протоколов и портов (включая динамически
-выделяемые порты), необходимых для работы приложений и сервисов между
-виртуальной инфраструктурой и сетями, являющимися внешними по
-отношению к виртуальной инфраструктуре.
-Содержание базовой меры ЗСВ.4:
-Мера защиты
+ЗСВ.10 РАЗБИЕНИЕ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ НА
-информации
+СЕГМЕНТЫ (СЕГМЕНТИРОВАНИЕ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ)
-Класс защищенности информационной системы
+ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ ОТДЕЛЬНЫМ ПОЛЬЗОВАТЕЛЕМ И
-3 2 1
+(ИЛИ) ГРУППОЙ ПОЛЬЗОВАТЕЛЕЙ
-ЗСВ.4
- + +
-Усиление
-ЗСВ.4
-, 2
+Требования к реализации ЗСВ.10: В информационной системе должно
+обеспечиваться разбиение виртуальной инфраструктуры на сегменты
+(сегментирование виртуальной инфраструктуры) для обработки информации
+отдельным пользователем и (или) группой пользователей в соответствии с
+ЗИС.17.
-ЗСВ.5 ДОВЕРЕННАЯ ЗАГРУЗКА СЕРВЕРОВ ВИРТУАЛИЗАЦИИ,
+Требования к усилению ЗСВ.10:
-ВИРТУАЛЬНОЙ МАШИНЫ (КОНТЕЙНЕРА), СЕРВЕРОВ УПРАВЛЕНИЯ
+) в информационной системе должно обеспечиваться логическое
-ВИРТУАЛИЗАЦИЕЙ
+сегментирование виртуальной инфраструктуры – выделение группы
+виртуальных машин, хранилищ информации и информационных потоков,
+предназначенных для решения выделенных (обособленных) задач;
+) в информационной системе должно обеспечиваться частичное
+физическое сегментирование виртуальной инфраструктуры,
+предусматривающее выделение в отдельный сегмент серверов виртуализации и
+функционирующих на них виртуальных машин, а также выделение хранилищ
+информации;
+) в информационной системе должно обеспечиваться полное физическое
+сегментирование виртуальной инфраструктуры, предусматривающее
+выделение в отдельный сегмент серверов виртуализации и функционирующих
+на них виртуальных машин, серверов управления виртуализацией, АРМ
+администратора управления средствами виртуализации, систем хранения
+данных и серверов хранения резервных копий. 111
-Требования к реализации ЗСВ.5: В информационной системе должны
-обеспечиваться доверенная загрузка серверов виртуализации, виртуальных
-машин (контейнеров) и серверов управления виртуализацией в соответствии с
-УПД.17. 105
-Доверенная загрузка должна обеспечивать блокирование попыток
-несанкционированной загрузки гипервизора, хостовой и гостевых
-операционных систем.
-Доверенная загрузка гипервизоров обеспечивается с использованием
-средств доверенной загрузки функционирующих на серверах виртуализации.
-Доверенная загрузка виртуальных машин (контейнеров) обеспечивается с
-использованием многокомпонентных средств доверенной загрузки, отдельные
-компоненты которых функционируют в гипервизорах.
-Требования к усилению ЗСВ.5:
+Содержание базовой меры ЗСВ.10:
-) должна обеспечиваться доверенная загрузка автоматизированных
-рабочих мест администраторов управления средствами виртуализации.
-Содержание базовой меры ЗСВ.5:
 Мера защиты
@@ Строка 4430: / Строка 3702: @@
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.5
+ЗСВ.10
++
++
 Усиление
-ЗСВ.5
+ЗСВ.10
-ЗСВ.6 УПРАВЛЕНИЕ ПЕРЕМЕЩЕНИЕМ ВИРТУАЛЬНЫХ МАШИН
+==3.12. ЗАЩИТА ТЕХНИЧЕСКИХ СРЕДСТВ (ЗТС) ==
-(КОНТЕЙНЕРОВ) И ОБРАБАТЫВАЕМЫХ НА НИХ ДАННЫХ
-Требования к реализации ЗСВ.6: Оператором должно обеспечиваться
+ЗТС.1 ЗАЩИТА ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ
-управление перемещением виртуальных машин (контейнеров) и
+ТЕХНИЧЕСКИМИ СРЕДСТВАМИ, ОТ ЕЕ УТЕЧКИ ПО ТЕХНИЧЕСКИМ
-обрабатываемых на них данных.
+КАНАЛАМ
-При управлении перемещением виртуальных машин (контейнеров) и
-обрабатываемых на них данных должны обеспечиваться;
-регламентирование порядка перемещения (определение ответственных за
-организацию процесса, объектов перемещения, ресурсов инфраструктуры,
-задействованных в перемещении, а также способов перемещения);
-управление размещением и перемещением файлов-образов виртуальных
-машин (контейнеров) между носителями (системами хранения данных);
-управление размещением и перемещением исполняемых виртуальных
-машин (контейнеров) между серверами виртуализации;
-управление размещением и перемещением данных, обрабатываемых с
-использованием виртуальных машин, между носителями (системами хранения
-данных).
-Управление перемещением виртуальных машин (контейнеров) должно
-предусматривать:
-полный запрет перемещения виртуальных машин (контейнеров); 106
-ограничение перемещения виртуальных машин (контейнеров) в пределах
+Требования к реализации ЗТС.1: Оператором обеспечивается защита
-информационной системы (сегмента информационной системы);
+информации, обрабатываемой техническими средствами, от ее утечки за счет
-или ограничение перемещения виртуальных машин (контейнеров) между
+побочных электромагнитных излучений и наводок.
-сегментами информационной системы.
+Защита информации от утечки по техническим каналам должна
-Оператором должно обеспечиваться перемещение виртуальных машин
+осуществляться в соответствии со Специальными требованиями и
-(контейнеров) и обрабатываемых на них данных в пределах информационной
+рекомендациями по технической защите конфиденциальной информации
-системы только на контролируемые им (или уполномоченным лицом)
+(СТРК-К), утвержденными приказом Гостехкомиссии России от 30 августа
-технические средства (сервера виртуализации, носители, системы хранения
+г. № 282, а также иными методическими документами ФСТЭК России по
-данных).
+защите информации ограниченного доступа, не содержащей сведений,
+составляющих государственную тайну, от утечки по техническим каналам.
-Требования к усилению ЗСВ.6:
+Требования к усилению ЗТС.1:
-) оператором должно обеспечиваться перемещение виртуальных машин
+Не установлены.
-(контейнеров) и обрабатываемых на них данных в пределах информационной
-системы только на контролируемые им технические средства (сервера
-виртуализации, носители, системы хранения данных);
-) оператором должна осуществляться обработка отказов перемещения
-виртуальных машин (контейнеров) и обрабатываемых на них данных;
-) в информационной системе должны использоваться механизмы
-централизованного управления перемещением виртуальных машин
-(контейнеров) и обрабатываемых на них данных;
-) в информационной системе должна быть обеспечена непрерывность
-регистрации событий безопасности в виртуальных машинах (контейнерах) в
-процессе перемещения;
-) в информационной системе должна осуществляться очистка
-освобождаемых областей памяти на серверах виртуализации, носителях,
-системах хранения данных при перемещении виртуальных машин
-(контейнеров) и обрабатываемых на них данных.
-Содержание базовой меры ЗСВ.6:
+Содержание базовой меры ЗТС.1:
 Мера защиты
@@ Строка 4493: / Строка 3741: @@
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.6
+ЗТС.1
-  + +
-Усиление
+Усиление ЗТС.1
-ЗСВ.6
-1, 2
-ЗСВ.7 КОНТРОЛЬ ЦЕЛОСТНОСТИ ВИРТУАЛЬНОЙ
-ИНФРАСТРУКТУРЫ И ЕЕ КОНФИГУРАЦИЙ
-Требования к реализации ЗСВ.7: В информационной системе должен
-обеспечиваться контроль целостности компонентов виртуальной
-инфраструктуры в соответствии с ОЦЛ.1.
-При реализации мер по контролю целостности компонентов виртуальной
-инфраструктуры должны обеспечиваться: 107
-контроль целостности компонентов, критически важных для
+ЗТС.2 ОРГАНИЗАЦИЯ КОНТРОЛИРУЕМОЙ ЗОНЫ, В ПРЕДЕЛАХ
-функционирования хостовой операционной системы, гипервизора, гостевых
+КОТОРОЙ ПОСТОЯННО РАЗМЕЩАЮТСЯ СТАЦИОНАРНЫЕ
-операционных систем и (или) обеспечения безопасности обрабатываемой в них
+ТЕХНИЧЕСКИЕ СРЕДСТВА, ОБРАБАТЫВАЮЩИЕ ИНФОРМАЦИЮ, И
-информации (загрузчика, системных файлов, библиотек операционной системы
+СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, А ТАКЖЕ СРЕДСТВА
-и иных компонентов);
+ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ
-контроль целостности состава и конфигурации виртуального
-оборудования;
-контроль целостности файлов, содержащих параметры настройки
-виртуализированного программного обеспечения и виртуальных машин;
-контроль целостности файлов-образов виртуализированного
-программного обеспечения и виртуальных машин, файлов-образов,
-используемых для обеспечения работы виртуальных файловых систем
-(контроль файлов-образов должен проводиться во время, когда файлы-образы
-не задействованы).
-В информационной системе должен обеспечиваться контроль
-целостности резервных копий виртуальных машин (контейнеров).
-Требования к усилению ЗСВ.7:
+Требования к реализации ЗТС.2: Оператором должна обеспечиваться
-) в информационной системе должен обеспечиваться контроль
+контролируемая зона, в пределах которой постоянно размещаются
-целостности базовой системы ввода-вывода вычислительных серверов и
+стационарные технические средства, обрабатывающие информацию, и средства
-консолей управления виртуальной инфраструктуры;
+защиты информации, а также средства обеспечения функционирования.
-) в информационной системе должен обеспечиваться контроль
+Контролируемая зона включает пространство (территорию, здание, часть
-целостности микропрограмм и служебных данных элементов аппаратной части
+здания), в котором исключено неконтролируемое пребывание работников
-виртуальной инфраструктуры (в том числе загрузочных записей машинных
+(сотрудников) оператора и лиц, не имеющих постоянного допуска на объекты
-носителей информации);
+информационной системы (не являющихся работниками оператора), а также
-) контроль состава аппаратной части компонентов виртуальной
+транспортных, технических и иных материальных средств. 113
-инфраструктуры;
-) контроль целостности программного обеспечения облачных клиентов.
-Содержание базовой меры ЗСВ.7:
+Границами контролируемой зоны могут являться периметр охраняемой
+территории, ограждающие конструкции охраняемого здания или охраняемой
+части здания, если оно размещено на неохраняемой территории. Границы
+контролируемой зоны устанавливаются в организационно-распорядительных
+документах по защите информации.
+Для одной информационной системы (ее сегментов) может быть
+организовано несколько контролируемых зон.
-Мера защиты
+Требования к усилению ЗТС.2:
+Не установлены.
+Содержание базовой меры ЗТС.2:
+Мера защиты
 информации
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.7
+ЗТС.2 + + + +
- + +
+Усиление ЗТС.2
-Усиление
-ЗСВ.7
-1, 3
-ЗСВ.8 РЕЗЕРВНОЕ КОПИРОВАНИЕ ДАННЫХ, РЕЗЕРВИРОВАНИЕ
+ЗТС.3 КОНТРОЛЬ И УПРАВЛЕНИЕ ФИЗИЧЕСКИМ ДОСТУПОМ К
-ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
+ТЕХНИЧЕСКИМ СРЕДСТВАМ, СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ,
-ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ, А ТАКЖЕ КАНАЛОВ СВЯЗИ
+СРЕДСТВАМ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ, А ТАКЖЕ В
-ВНУТРИ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ
+ПОМЕЩЕНИЯ И СООРУЖЕНИЯ, В КОТОРЫХ ОНИ УСТАНОВЛЕНЫ,
+ИСКЛЮЧАЮЩИЕ НЕСАНКЦИОНИРОВАННЫЙ ФИЗИЧЕСКИЙ ДОСТУП
+К СРЕДСТВАМ ОБРАБОТКИ ИНФОРМАЦИИ, СРЕДСТВАМ ЗАЩИТЫ
+ИНФОРМАЦИИ И СРЕДСТВАМ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ
+ИНФОРМАЦИОННОЙ СИСТЕМЫ И ПОМЕЩЕНИЯ И СООРУЖЕНИЯ, В
+КОТОРЫХ ОНИ УСТАНОВЛЕНЫ
-Требования к реализации ЗСВ.8: В информационной системе должны
+Требования к реализации ЗТС.3: Оператором должны обеспечиваться
-обеспечиваться резервное копирование данных, резервирование технических
+контроль и управление физическим доступом к техническим средствам,
-средств, программного обеспечения виртуальной инфраструктуры и каналов
+средствам защиты информации, средствам обеспечения функционирования, а
-связи внутри виртуальной инфраструктуры в соответствии с ОДТ.2, ОДТ.4,
+также в помещения и сооружения, в которых они установлены, исключающие
-ОДТ.5.
+несанкционированный физический доступ к средствам обработки информации,
-При реализации мер по резервному копированию данных,
+средствам защиты информации и средствам обеспечения функционирования
-резервированию технических средств, программного обеспечения виртуальной
+информационной системы и помещения и сооружения, в которых они
-инфраструктуры должны обеспечиваться:
+установлены.
-определение мест хранения резервных копий виртуальных машин
+Контроль и управление физическим доступом должны предусматривать:
-(контейнеров) и данных, обрабатываемых в виртуальной инфраструктуре;
+определение лиц, допущенных к техническим средствам, средствам
-резервное копирование виртуальных машин (контейнеров);
+защиты информации, средствам обеспечения функционирования, а также в
-резервное копирование данных, обрабатываемых в виртуальной
+помещения и сооружения, в которых они установлены; 114
-инфраструктуре;
-резервирование программного обеспечения виртуальной
-инфраструктуры;
-резервирование каналов связи, используемых в виртуальной
-инфраструктуре;
-периодическая проверка резервных копий и возможности восстановления
-виртуальных машин (контейнеров) и данных, обрабатываемых в виртуальной
-инфраструктуре с использованием резервных копий.
-Требования к усилению ЗСВ.8:
+санкционирование физического доступа к техническим средствам,
-) в информационной системе должно выполняться резервное
+средствам защиты информации, средствам обеспечения функционирования, а
-копирование конфигурации виртуальной инфраструктуры;
+также в помещения и сооружения, в которых они установлены;
-) в информационной системе должно выполняться резервное
+учет физического доступа к техническим средствам, средствам защиты
-копирование программного обеспечения серверов управления виртуализацией,
+информации, средствам обеспечения функционирования, а также в помещения
-автоматизированного рабочего места администратора управления средствами
+и сооружения, в которых они установлены.
-виртуализации;
-) в информационной системе должно выполняться резервирование
-дистрибутивов средств построения виртуальной инфраструктуры (в том числе
-средств управления виртуальной инфраструктурой);
-) в информационной системе должно обеспечиваться резервирование
-технических средств для серверов виртуализации, серверов управления
-виртуализацией, автоматизированного рабочего места администратора
-управления средствами виртуализации;
-) в информационной системе должно обеспечиваться резервирование
-технических средств систем хранения данных и их компонент, используемых в
-виртуальной инфраструктуре; 109
-) в информационной системе должно обеспечиваться резервирование
+Требования к усилению ЗТС.3:
-технических средств активного (коммутационного) и пассивного оборудования
+) оператором должны применяться автоматизированные системы
-каналов связи, используемых в виртуальной инфраструктуре;
+контроля и управления доступом (СКУД), обеспечивающие контроль и учет
-) в информационной системе должно обеспечиваться применение
+физического доступа к техническим средствам, средствам защиты информации,
-технологий распределенного хранения информации и восстановления
+средствам обеспечения функционирования, а также в помещения и сооружения,
-информации после сбоев для обеспечения отказоустойчивости виртуальной
+в которых они установлены с учетом ГОСТ Р 51241-2008;
-инфраструктуры.
+) оператором должны применяться средства видеонаблюдения,
+обеспечивающие регистрацию доступа к техническим средствам, средствам
+защиты информации, средствам обеспечения функционирования, а также в
+помещения и сооружения, в которых они установлены;
+) оператором обеспечивается интеграция системы контроля и
+управления доступом (СКУД) со средствами идентификации и аутентификации
+пользователей в информационной системе в соответствии с ИАФ.1, ИАФ.6 и
+средствами управления доступом в соответствии с УПД.2, УПД.10.
-Содержание базовой меры ЗСВ.8:
+Содержание базовой меры ЗТС.3:
 Мера защиты
@@ Строка 4609: / Строка 3836: @@
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.8
+ЗТС.3 + + + +
- + +
+Усиление ЗТС.3
-Усиление
-ЗСВ.8
-, 2, 3
-ЗСВ.9 РЕАЛИЗАЦИЯ И УПРАВЛЕНИЕ АНТИВИРУСНОЙ ЗАЩИТОЙ
-В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ
-Требования к реализации ЗСВ.9: В информационной системе должны
+ЗТС.4 РАЗМЕЩЕНИЕ УСТРОЙСТВ ВЫВОДА (ОТОБРАЖЕНИЯ)
-обеспечиваться реализация и управление антивирусной защитой в виртуальной
+ИНФОРМАЦИИ, ИСКЛЮЧАЮЩЕЕ ЕЕ НЕСАНКЦИОНИРОВАННЫЙ
-инфраструктуре в соответствии с АВЗ.1, АВЗ.2.
+ПРОСМОТР
-При реализации мер по реализации и управлению антивирусной защитой
-в виртуальной инфраструктуре должны обеспечиваться:
-проверка наличия вредоносных программ (вирусов) в хостовой
-операционной системе, включая контроль файловой системы, памяти,
-запущенных приложений и процессов;
-проверка наличия вредоносных программ в гостевой операционной
-системе, в процессе ее функционирования, включая контроль файловой
-системы, памяти, запущенных приложений и процессов.
-Требования к усилению ЗСВ.9:
+Требования к реализации ЗТС.4: Оператором должно осуществляться
-) в информационной системе должно обеспечиваться разграничение
+размещение устройств вывода (отображения) информации, исключающее ее
-доступа к управлению средствами антивирусной защиты;
+несанкционированный просмотр.
-) в информационной системе должен обеспечиваться контроль
+В качестве устройств вывода (отображения) информации в
-функционирования средств антивирусной защиты в виртуальной
+информационной системе следует рассматривать экраны мониторов
-инфраструктуре, в том числе маршрутизация потоков информации в
+автоматизированных рабочих мест пользователей, мониторы консолей
-виртуальной инфраструктуре через средство антивирусной защиты;
+управления технических средств (серверов, телекоммуникационного
-) в информационной системе должна обеспечиваться реализация
+оборудования и иных технических средств), видеопанели, видеостены и другие
-технологии обновления программного обеспечения и баз данных признаков
+средства визуального отображения защищаемой информации, печатающие 115
-компьютерных вирусов средств антивирусной защиты, предусматривающая
-однократную передачу обновлений на сервер виртуальной инфраструктуры для
-их последующего применения в виртуальных машинах; 110
-) в информационной системе должна обеспечиваться проверка наличия
+устройства (принтеры, плоттеры и иные устройства), аудиоустройства,
-вредоносных программ (вирусов) в гипервизоре;
+многофункциональные устройства.
-) в информационной системе должна обеспечиваться проверка наличия
+Размещение устройств вывода (отображения, печати) информации
-вредоносных программ в файлах конфигурации виртуального оборудования;
+должно исключать возможность несанкционированного просмотра выводимой
-) в информационной системе должна обеспечиваться проверка наличия
+информации, как из-за пределов контролируемой зоны, так и в пределах
-вредоносных программ в файлах-образах виртуализированного программного
+контролируемой зоны. Не следует размещать устройства вывода (отображения,
-обеспечения и виртуальных машин.
+печати) информации напротив оконных проемов, входных дверей,
+технологических отверстий, в коридорах, холлах и иных местах, доступных для
+несанкционированного просмотра.
-Содержание базовой меры ЗСВ.9:
+Требования к усилению ЗТС.4:
+) оператором обеспечивается установка на окна помещений
+информационной системы средств, ограничивающих возможность визуального
+ознакомления с защищаемой информацией извне помещений (жалюзи, плотные
+шторы и иные средства), если в этих помещениях размещены устройства
+вывода информации на печать и (или) отображение информации на
+видеоустройства.
+Содержание базовой меры ЗТС.4:
 Мера защиты
@@ Строка 4658: / Строка 3879: @@
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.9
+ЗТС.4 + + + +
- + + +
+Усиление ЗТС.4
-Усиление
-ЗСВ.9
-1
+ЗТС.5 ЗАЩИТА ОТ ВНЕШНИХ ВОЗДЕЙСТВИЙ (ВОЗДЕЙСТВИЙ
+ОКРУЖАЮЩЕЙ СРЕДЫ, НЕСТАБИЛЬНОСТИ ЭЛЕКТРОСНАБЖЕНИЯ,
+КОНДИЦИОНИРОВАНИЯ И ИНЫХ ВНЕШНИХ ФАКТОРОВ)
-ЗСВ.10 РАЗБИЕНИЕ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ НА
+Требования к реализации ЗТС.5: Оператором должна осуществляться
-СЕГМЕНТЫ (СЕГМЕНТИРОВАНИЕ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ)
+защита от внешних воздействий (воздействий окружающей среды,
-ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ ОТДЕЛЬНЫМ ПОЛЬЗОВАТЕЛЕМ И
+нестабильности электроснабжения, кондиционирования и иных внешних
-(ИЛИ) ГРУППОЙ ПОЛЬЗОВАТЕЛЕЙ
+факторов).
+Защита от внешних воздействий в соответствии с требованиями
+законодательства Российской Федерации (национальных стандартов,
+технических регламентов) должна предусматривать:
+выполнение норм и правил пожарной безопасности;
+выполнение норм и правил устройства и технической эксплуатации
+электроустановок, а также соблюдение параметров электропитания и
+заземления технических средств; 116
-Требования к реализации ЗСВ.10: В информационной системе должно
+обеспечение необходимых для эксплуатации технических средств
-обеспечиваться разбиение виртуальной инфраструктуры на сегменты
+температурно-влажностного режима и условий по степени запыленности
-(сегментирование виртуальной инфраструктуры) для обработки информации
+воздуха.
-отдельным пользователем и (или) группой пользователей в соответствии с
-ЗИС.17.
-Требования к усилению ЗСВ.10:
+Требования к усилению ЗТС.5:
-) в информационной системе должно обеспечиваться логическое
+Не установлены.
-сегментирование виртуальной инфраструктуры – выделение группы
-виртуальных машин, хранилищ информации и информационных потоков,
-предназначенных для решения выделенных (обособленных) задач;
-) в информационной системе должно обеспечиваться частичное
-физическое сегментирование виртуальной инфраструктуры,
-предусматривающее выделение в отдельный сегмент серверов виртуализации и
-функционирующих на них виртуальных машин, а также выделение хранилищ
-информации;
-) в информационной системе должно обеспечиваться полное физическое
-сегментирование виртуальной инфраструктуры, предусматривающее
-выделение в отдельный сегмент серверов виртуализации и функционирующих
-на них виртуальных машин, серверов управления виртуализацией, АРМ
-администратора управления средствами виртуализации, систем хранения
-данных и серверов хранения резервных копий. 111
+Содержание базовой меры ЗТС.5:
-Содержание базовой меры ЗСВ.10:
 Мера защиты
@@ Строка 4701: / Строка 3912: @@
 Класс защищенности информационной системы
 3 2 1
-ЗСВ.10
+ЗТС.5 +
+Усиление ЗТС.5
-+
-+
-Усиление
-ЗСВ.10
+==3.13. ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ, ЕЕ СРЕДСТВ И СИСТЕМ СВЯЗИ И ПЕРЕДАЧИ ДАННЫХ (ЗИС) ==
+===ЗИС.1 РАЗДЕЛЕНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ФУНКЦИЙ ПО УПРАВЛЕНИЮ (АДМИНИСТРИРОВАНИЮ) ИНФОРМАЦИОННОЙ СИСТЕМОЙ, УПРАВЛЕНИЮ (АДМИНИСТРИРОВАНИЮ) СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ФУНКЦИЙ ПО ОБРАБОТКЕ ИНФОРМАЦИИ И ИНЫХ ФУНКЦИЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ===
-==3.12. ЗАЩИТА ТЕХНИЧЕСКИХ СРЕДСТВ (ЗТС) ==
+'''Требования к реализации ЗИС.1:'''
+В информационной системе должно быть обеспечено разделение функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации (функций безопасности) и функциональных возможностей пользователей по обработке информации.
+Функциональные возможности по управлению (администрированию) информационной системой и управлению (администрированию) системой защиты информации включают функции по управлению базами данных, прикладным программным обеспечением, телекоммуникационным оборудованием, рабочими станциями, серверами, средствами защиты информации и иные функции, требующие высоких привилегий.
+Разделение функциональных возможностей обеспечивается на физическом и (или) логическом уровне путем выделения части программно-технических средств информационной системы, реализующих функциональные возможности по управлению (администрированию) информационной системой и управлению (администрированию) системой защиты информации, в отдельный домен, использования различных автоматизированных рабочих мест и серверов, различных типов операционной системы, разных способов аутентификации, различных сетевых адресов и (или) комбинаций данных способов, а также иными методами.
-ЗТС.1 ЗАЩИТА ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ
+'''Требования к усилению ЗИС.1:'''
-ТЕХНИЧЕСКИМИ СРЕДСТВАМИ, ОТ ЕЕ УТЕЧКИ ПО ТЕХНИЧЕСКИМ
+*1) исключение отображения функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации в интерфейсе пользователя;
-КАНАЛАМ
+*2) выделение автоматизированных рабочих мест для администраторов информационной системы;
+*3) выделение автоматизированных рабочих мест для администраторов безопасности.
-Требования к реализации ЗТС.1: Оператором обеспечивается защита
+'''Содержание базовой меры ЗИС.1:'''
-информации, обрабатываемой техническими средствами, от ее утечки за счет
-побочных электромагнитных излучений и наводок.
-Защита информации от утечки по техническим каналам должна
-осуществляться в соответствии со Специальными требованиями и
-рекомендациями по технической защите конфиденциальной информации
-(СТРК-К), утвержденными приказом Гостехкомиссии России от 30 августа
-г. № 282, а также иными методическими документами ФСТЭК России по
-защите информации ограниченного доступа, не содержащей сведений,
-составляющих государственную тайну, от утечки по техническим каналам.
-Требования к усилению ЗТС.1:
+{| class="wikitable" width="600" border="1"
-Не установлены.
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.1
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.1
+ |align="center" |
+ |align="center" |
+ |align="center" | 3
+ |align="center" | 3
+ |}
+===ЗИС.2 ПРЕДОТВРАЩЕНИЕ ЗАДЕРЖКИ ИЛИ ПРЕРЫВАНИЯ ВЫПОЛНЕНИЯ ПРОЦЕССОВ С ВЫСОКИМ ПРИОРИТЕТОМ СО СТОРОНЫ ПРОЦЕССОВ С НИЗКИМ ПРИОРИТЕТОМ ===
-Содержание базовой меры ЗТС.1:
+'''Требования к реализации ЗИС.2:'''
+В информационной системе должно обеспечиваться предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов (служб, сервисов) с низким приоритетом, предусматривающее: * определение приоритетов процессов (служб, сервисов) для пользователей и (или) групп пользователей и (или) ролей в информационной системе;
+* выполнение процессов (служб, сервисов) в информационной системе с учетом их приоритета (в первую очередь должны выполняться процессы с более высоким приоритетом);
+* исключение задержки и (или вмешательства) в выполнение процессов (служб, сервисов) с более высоким приоритетом со стороны процессов (служб, сервисов) с более низким приоритетом.
-Мера защиты
+'''Требования к усилению ЗИС.2:'''
-информации
+*1) в информационной системе должно обеспечиваться исключение возможности несанкционированного изменения приоритетов выполнения процессов.
-Класс защищенности информационной системы
-3 2 1
-ЗТС.1
-Усиление ЗТС.1
+'''Содержание базовой меры ЗИС.2:'''
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.2
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.2
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
+===ЗИС.3 ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОТ РАСКРЫТИЯ, МОДИФИКАЦИИ И НАВЯЗЫВАНИЯ (ВВОДА ЛОЖНОЙ ИНФОРМАЦИИ) ПРИ ЕЕ ПЕРЕДАЧЕ (ПОДГОТОВКЕ К ПЕРЕДАЧЕ) ПО КАНАЛАМ СВЯЗИ, ИМЕЮЩИМ ВЫХОД ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ ===
+'''Требования к реализации ЗИС.3:'''
+Оператором должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны.
+Защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации
+средств криптографической защиты информации.
-ЗТС.2 ОРГАНИЗАЦИЯ КОНТРОЛИРУЕМОЙ ЗОНЫ, В ПРЕДЕЛАХ
+'''Требования к усилению ЗИС.3:'''
-КОТОРОЙ ПОСТОЯННО РАЗМЕЩАЮТСЯ СТАЦИОНАРНЫЕ
-ТЕХНИЧЕСКИЕ СРЕДСТВА, ОБРАБАТЫВАЮЩИЕ ИНФОРМАЦИЮ, И
-СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, А ТАКЖЕ СРЕДСТВА
-ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ
-Требования к реализации ЗТС.2: Оператором должна обеспечиваться
-контролируемая зона, в пределах которой постоянно размещаются
-стационарные технические средства, обрабатывающие информацию, и средства
-защиты информации, а также средства обеспечения функционирования.
-Контролируемая зона включает пространство (территорию, здание, часть
-здания), в котором исключено неконтролируемое пребывание работников
-(сотрудников) оператора и лиц, не имеющих постоянного допуска на объекты
-информационной системы (не являющихся работниками оператора), а также
-транспортных, технических и иных материальных средств. 113
-Границами контролируемой зоны могут являться периметр охраняемой
-территории, ограждающие конструкции охраняемого здания или охраняемой
-части здания, если оно размещено на неохраняемой территории. Границы
-контролируемой зоны устанавливаются в организационно-распорядительных
-документах по защите информации.
-Для одной информационной системы (ее сегментов) может быть
-организовано несколько контролируемых зон.
-Требования к усилению ЗТС.2:
 Не установлены.
-Содержание базовой меры ЗТС.2:
+Содержание базовой меры ЗИС.3:
-Мера защиты
+{| class="wikitable" width="600" border="1"
-информации
+ !width="10%" rowspan="2"|Мера защиты информации
-Класс защищенности информационной системы
+ !colspan="4" | Класс защищенности информационной системы
-3 2 1
+ |-
-ЗТС.2 + + + +
+ !align="center" width="15%"|4
-Усиление ЗТС.2
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.3
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.3
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
+===ЗИС.4 ОБЕСПЕЧЕНИЕ ДОВЕРЕННЫХ КАНАЛА, МАРШРУТА МЕЖДУ АДМИНИСТРАТОРОМ, ПОЛЬЗОВАТЕЛЕМ И СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ (ФУНКЦИЯМИ БЕЗОПАСНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ) ===
-ЗТС.3 КОНТРОЛЬ И УПРАВЛЕНИЕ ФИЗИЧЕСКИМ ДОСТУПОМ К
+'''Требования к реализации ЗИС.4:'''
-ТЕХНИЧЕСКИМ СРЕДСТВАМ, СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ,
-СРЕДСТВАМ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ, А ТАКЖЕ В
+В информационной системе должны обеспечиваться доверенные маршруты передачи данных между администратором (пользователем) и средствами защиты информации (функциями безопасности средств защиты информации), определяемыми оператором.
-ПОМЕЩЕНИЯ И СООРУЖЕНИЯ, В КОТОРЫХ ОНИ УСТАНОВЛЕНЫ,
-ИСКЛЮЧАЮЩИЕ НЕСАНКЦИОНИРОВАННЫЙ ФИЗИЧЕСКИЙ ДОСТУП
+Оператором должен быть определен перечень целей (функций) передачи данных, для которых требуется доверенный канал (маршрут).
-К СРЕДСТВАМ ОБРАБОТКИ ИНФОРМАЦИИ, СРЕДСТВАМ ЗАЩИТЫ
-ИНФОРМАЦИИ И СРЕДСТВАМ ОБЕСПЕЧЕНИЯ ФУНКЦИОНИРОВАНИЯ
+Доверенный канал между пользователем и средствами защиты информации должен обеспечиваться при удаленном и локальном доступе в информационную систему.
-ИНФОРМАЦИОННОЙ СИСТЕМЫ И ПОМЕЩЕНИЯ И СООРУЖЕНИЯ, В
-КОТОРЫХ ОНИ УСТАНОВЛЕНЫ
-Требования к реализации ЗТС.3: Оператором должны обеспечиваться
+'''Требования к усилению ЗИС.4:'''
-контроль и управление физическим доступом к техническим средствам,
-средствам защиты информации, средствам обеспечения функционирования, а
+Не установлены.
-также в помещения и сооружения, в которых они установлены, исключающие
-несанкционированный физический доступ к средствам обработки информации,
+'''Содержание базовой меры ЗИС.4:'''
-средствам защиты информации и средствам обеспечения функционирования
-информационной системы и помещения и сооружения, в которых они
-установлены.
-Контроль и управление физическим доступом должны предусматривать:
-определение лиц, допущенных к техническим средствам, средствам
-защиты информации, средствам обеспечения функционирования, а также в
-помещения и сооружения, в которых они установлены; 114
-санкционирование физического доступа к техническим средствам,
+{| class="wikitable" width="600" border="1"
-средствам защиты информации, средствам обеспечения функционирования, а
+ !width="10%" rowspan="2"|Мера защиты информации
-также в помещения и сооружения, в которых они установлены;
+ !colspan="4" | Класс защищенности информационной системы
-учет физического доступа к техническим средствам, средствам защиты
+ |-
-информации, средствам обеспечения функционирования, а также в помещения
+ !align="center" width="15%"|4
-и сооружения, в которых они установлены.
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.4
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.4
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Требования к усилению ЗТС.3:
-) оператором должны применяться автоматизированные системы
-контроля и управления доступом (СКУД), обеспечивающие контроль и учет
-физического доступа к техническим средствам, средствам защиты информации,
-средствам обеспечения функционирования, а также в помещения и сооружения,
-в которых они установлены с учетом ГОСТ Р 51241-2008;
-) оператором должны применяться средства видеонаблюдения,
-обеспечивающие регистрацию доступа к техническим средствам, средствам
-защиты информации, средствам обеспечения функционирования, а также в
-помещения и сооружения, в которых они установлены;
-) оператором обеспечивается интеграция системы контроля и
-управления доступом (СКУД) со средствами идентификации и аутентификации
-пользователей в информационной системе в соответствии с ИАФ.1, ИАФ.6 и
-средствами управления доступом в соответствии с УПД.2, УПД.10.
-Содержание базовой меры ЗТС.3:
+===ЗИС.5 ЗАПРЕТ НЕСАНКЦИОНИРОВАННОЙ УДАЛЕННОЙ АКТИВАЦИИ ВИДЕОКАМЕР, МИКРОФОНОВ И ИНЫХ ПЕРИФЕРИЙНЫХ УСТРОЙСТВ, КОТОРЫЕ МОГУТ АКТИВИРОВАТЬСЯ УДАЛЕННО, И ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЕЙ ОБ АКТИВАЦИИ ТАКИХ УСТРОЙСТВ ===
-Мера защиты
+'''Требования к реализации ЗИС.5:'''
-информации
-Класс защищенности информационной системы
+В информационной системе должны осуществляться запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств, в том числе путем сигнализации, индикации.
-3 2 1
-ЗТС.3 + + + +
+Запрет несанкционированной удаленной активации должен осуществляться в отношении всех периферийных устройств ввода (вывода) информации, которые имеют возможность управления (запуска, включения, выключения) через компоненты программного обеспечение, установленные на рабочем месте пользователя, коммуникационных сервисов сторонних лиц (провайдеров), (ICQ, Skype и иные сервисы).
-Усиление ЗТС.3
+Запрет несанкционированной удаленной активации должен осуществляться через физическое исключение такой возможности и (или) путем управления программным обеспечением.
+В исключительных случаях для решения установленных оператором отдельных задач, решаемых информационной системой, допускается возможность удаленной активации периферийных устройств. При этом должно быть обеспечено определение перечня периферийных устройств, для которых допускается возможность удаленной активации и обеспечен контроль за активацией таких устройств.
+'''Требования к усилению ЗИС.5:'''
+*1) в информационной системе должна обеспечиваться возможность физического отключения периферийных устройств (например, отключение при организации и проведении совещаний в помещениях, где размещены видеокамеры и микрофоны);
+*2) в информационной системе должна обеспечиваться возможность блокирования входящего и исходящего трафика от пользователей систем, предоставляющих внешние сервисы (например, системы видеоконференцсвязи), в которых конфигурации (настройки) сервисов для конечных пользователей устанавливаются провайдерами или самими пользователями;
+*3) оператором обеспечивается удаление (отключение) из информационной системы (отдельных сегментов, например расположенных в защищаемых и выделенных помещениях) периферийных устройств, перечень которых определяется оператором;
+* 4) оператором обеспечивается запись и хранение в течение установленного времени информации, переданной (полученной) по каналам передачи информации при разрешенной удаленной активации периферийных устройств ввода (вывода) информации.
+'''Содержание базовой меры ЗИС.5:'''
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.5
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.5
+ |align="center" |
+ |align="center" |
+ |align="center" | 1
+ |align="center" | 1,2
+ |}
-ЗТС.4 РАЗМЕЩЕНИЕ УСТРОЙСТВ ВЫВОДА (ОТОБРАЖЕНИЯ)
-ИНФОРМАЦИИ, ИСКЛЮЧАЮЩЕЕ ЕЕ НЕСАНКЦИОНИРОВАННЫЙ
-ПРОСМОТР
-Требования к реализации ЗТС.4: Оператором должно осуществляться
+===ЗИС.6 ПЕРЕДАЧА И КОНТРОЛЬ ЦЕЛОСТНОСТИ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ, ПРИ ОБМЕНЕ ИНФОРМАЦИЕЙ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ ===
-размещение устройств вывода (отображения) информации, исключающее ее
-несанкционированный просмотр.
-В качестве устройств вывода (отображения) информации в
-информационной системе следует рассматривать экраны мониторов
-автоматизированных рабочих мест пользователей, мониторы консолей
-управления технических средств (серверов, телекоммуникационного
-оборудования и иных технических средств), видеопанели, видеостены и другие
-средства визуального отображения защищаемой информации, печатающие 115
-устройства (принтеры, плоттеры и иные устройства), аудиоустройства,
+'''Требования к реализации ЗИС.6:'''
-многофункциональные устройства.
-Размещение устройств вывода (отображения, печати) информации
+В информационной системе должна осуществляться передача, сопоставление (сравнение) атрибутов безопасности (меток безопасности) с информацией, которой она обменивается с иными (внешними) информационными системами.
-должно исключать возможность несанкционированного просмотра выводимой
-информации, как из-за пределов контролируемой зоны, так и в пределах
+Атрибуты безопасности могут сопоставляться с информацией, содержащейся в информационной системе, в явном или скрытом виде.
-контролируемой зоны. Не следует размещать устройства вывода (отображения,
-печати) информации напротив оконных проемов, входных дверей,
+Меры по передаче и контролю целостности (сопоставлению, сравнению) атрибутов безопасности (меток безопасности) реализуются в соответствии с УПД.12.
-технологических отверстий, в коридорах, холлах и иных местах, доступных для
-несанкционированного просмотра.
-Требования к усилению ЗТС.4:
+'''Требования к усилению ЗИС.6:'''
-) оператором обеспечивается установка на окна помещений
+*1) в информационной системе должен обеспечиваться контроль целостности атрибутов безопасности (меток безопасности).
-информационной системы средств, ограничивающих возможность визуального
-ознакомления с защищаемой информацией извне помещений (жалюзи, плотные
+'''Содержание базовой меры ЗИС.6:'''
-шторы и иные средства), если в этих помещениях размещены устройства
-вывода информации на печать и (или) отображение информации на
-видеоустройства.
-Содержание базовой меры ЗТС.4:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.6
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.6
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗТС.4 + + + +
-Усиление ЗТС.4
+===ЗИС.7 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ МОБИЛЬНОГО КОДА, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА ===
+'''Требования к реализации ЗИС.7:'''
+Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий мобильного кода (активного контента) в информационной системе, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода.
+Технология мобильного кода включает, в том числе использование Java, JavaScript, ActiveX, PDF, Postscript, Flash-анимация и VBScript и иных технологий.
+При контроле использования технологий мобильного кода должно быть обеспечено:
+*определение перечня мобильного кода и технологий мобильного кода разрешенных и (или) запрещенных для использования в информационной системе;
+*определение разрешенных мест распространения (серверы информационной системы) и использования мобильного кода (автоматизированные рабочие места, мобильные технические средства информационной системы) и функций информационной системы, для которых необходимо применение технологии мобильного кода;
+*регистрация и анализ событий, связанных с разработкой, приобретением или внедрением технологии мобильного кода;
+*исключение возможности использования запрещенного мобильного кода в информационной системе, а также внедрение мобильного кода в местах, не разрешенных для его установки.
+Процедуры контроля санкционированного и исключения несанкционированного использования технологий мобильного кода должны быть отражены в организационно-распорядительных документах по защите информации.
-ЗТС.5 ЗАЩИТА ОТ ВНЕШНИХ ВОЗДЕЙСТВИЙ (ВОЗДЕЙСТВИЙ
-ОКРУЖАЮЩЕЙ СРЕДЫ, НЕСТАБИЛЬНОСТИ ЭЛЕКТРОСНАБЖЕНИЯ,
-КОНДИЦИОНИРОВАНИЯ И ИНЫХ ВНЕШНИХ ФАКТОРОВ)
-Требования к реализации ЗТС.5: Оператором должна осуществляться
+'''Требования к усилению ЗИС.7:'''
-защита от внешних воздействий (воздействий окружающей среды,
+*1) в информационной системе должны быть реализованы механизмы обнаружения и анализа мобильного кода для выявления фактов несанкционированного использования мобильного кода и выполнения действий по реагированию (оповещение администраторов, изоляция мобильного кода (перемещение в карантин), блокирование мобильного кода, удаление мобильного кода) и иные действия, определяемые оператором;
-нестабильности электроснабжения, кондиционирования и иных внешних
+*2) в информационной системе должен осуществляться запрет загрузки и выполнения запрещенного мобильного кода;
-факторов).
+*3) в информационной системе для приложений, определяемых оператором, должен осуществляться запрет автоматического выполнения разрешенного мобильного кода (уведомление пользователя о получении мобильного кода и запрос разрешения на запуск или иные действия определяемые оператором);
-Защита от внешних воздействий в соответствии с требованиями
+*4) в информационной системе должен осуществляться контроль подлинности источника мобильного кода и целостности мобильного кода.
-законодательства Российской Федерации (национальных стандартов,
-технических регламентов) должна предусматривать:
-выполнение норм и правил пожарной безопасности;
-выполнение норм и правил устройства и технической эксплуатации
-электроустановок, а также соблюдение параметров электропитания и
-заземления технических средств; 116
-обеспечение необходимых для эксплуатации технических средств
+'''Содержание базовой меры ЗИС.7:'''
-температурно-влажностного режима и условий по степени запыленности
-воздуха.
-Требования к усилению ЗТС.5:
+{| class="wikitable" width="600" border="1"
-Не установлены.
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.7
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.7
+ |align="center" |
+ |align="center" |
+ |align="center" | 1
+ |align="center" | 1,2
+ |}
-Содержание базовой меры ЗТС.5:
+===ЗИС.8 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ ===
-Мера защиты
+'''Требования к реализации ЗИС.8:'''
-информации
-Класс защищенности информационной системы
+Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий передачи речи в информационной системе, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи.
-3 2 1
-ЗТС.5 +
+При контроле использования технологий передачи речи должно быть обеспечено:
-Усиление ЗТС.5
+*определение перечня технологий (сервисов) передачи речи разрешенных и (или) запрещенных для использования в информационной системе;
+*определение категорий пользователей, которым разрешены разработка, приобретение или внедрение технологий передачи речи;
+*реализация параметров настройки, исключающих возможность удаленной конфигурации устройств передачи речи;
+*регистрация и анализ событий, связанных с разработкой, приобретением и внедрением технологий передачи речи;
+*исключение возможности использования запрещенной технологии передачи речи в информационной системе, а также разработки, приобретения и внедрения технологий передачи речи пользователям, которым не разрешено ее
+использование.
+Технология передачи речи включает, в том числе, передачу речи через Интернет VoIP.
+Процедуры контроля санкционированного и исключения несанкционированного использования технологий передачи речи должны быть отражены в организационно-распорядительных документах по защите информации.
+'''Требования к усилению ЗИС.8:'''
+Не установлены.
+'''Содержание базовой меры ЗИС.8:'''
+{| class="wikitable" width="600" border="1"
+  !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.8
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.8
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
+===ЗИС.9 КОНТРОЛЬ САНКЦИОНИРОВАННОЙ И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОЙ ПЕРЕДАЧИ ВИДЕОИНФОРМАЦИИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ ===
-==3.13. ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ, ЕЕ СРЕДСТВ И СИСТЕМ СВЯЗИ И ПЕРЕДАЧИ ДАННЫХ (ЗИС) ==
+Требования к реализации ЗИС.9: Оператором должны осуществляться
+контроль санкционированного и исключение несанкционированного
+использования технологий передачи видеоинформации в информационной
+системе, в том числе регистрация событий, связанных с использованием
+технологий передачи видеоинформации, их анализ и реагирование на
+нарушения, связанные с использованием технологий передачи
+видеоинформации. При контроле использования технологий передачи
+видеоинформации должно быть обеспечено: 125
-ЗИС.1 РАЗДЕЛЕНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ФУНКЦИЙ
+определение перечня технологий (сервисов) передачи видеоинформации
-ПО УПРАВЛЕНИЮ (АДМИНИСТРИРОВАНИЮ) ИНФОРМАЦИОННОЙ
+разрешенных и (или) запрещенных для использования в информационной
-СИСТЕМОЙ, УПРАВЛЕНИЮ (АДМИНИСТРИРОВАНИЮ) СИСТЕМОЙ
+системе;
-ЗАЩИТЫ ИНФОРМАЦИИ, ФУНКЦИЙ ПО ОБРАБОТКЕ ИНФОРМАЦИИ И
+определение категорий пользователей, которым разрешены разработка,
-ИНЫХ ФУНКЦИЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
+приобретение или внедрение технологий передачи видеоинформации;
+реализация параметров настройки, исключающих возможность
-Требования к реализации ЗИС.1: В информационной системе должно
+удаленной конфигурации устройств передачи видеоинформации;
-быть обеспечено разделение функциональных возможностей по управлению
+регистрация и анализ событий, связанных с разработкой, приобретением
-(администрированию) информационной системой, управлению
+и внедрением технологий передачи видеоинформации;
-(администрированию) системой защиты информации (функций безопасности) и
+исключение возможности использования запрещенной технологии
-функциональных возможностей пользователей по обработке информации.
+передачи видеоинформации в информационной системе, а также разработки,
-Функциональные возможности по управлению (администрированию)
+приобретения и внедрения технологий передачи видеоинформации
-информационной системой и управлению (администрированию) системой
+пользователям, которым не разрешено ее использование.
-защиты информации включают функции по управлению базами данных,
+Технология передачи видеоинформации включает, в том числе,
-прикладным программным обеспечением, телекоммуникационным
+применение технологий видеоконференцсвязи.
-оборудованием, рабочими станциями, серверами, средствами защиты
+Процедуры контроля санкционированного и исключения
-информации и иные функции, требующие высоких привилегий.
+несанкционированного использования технологий передачи видеоинформации
-Разделение функциональных возможностей обеспечивается на
+должны быть отражены в организационно-распорядительных документах по
-физическом и (или) логическом уровне путем выделения части программно-
+защите информации.
-технических средств информационной системы, реализующих функциональные
-возможности по управлению (администрированию) информационной системой
-и управлению (администрированию) системой защиты информации, в
-отдельный домен, использования различных автоматизированных рабочих мест
-и серверов, различных типов операционной системы, разных способов
-аутентификации, различных сетевых адресов и (или) комбинаций данных
-способов, а также иными методами.
-Требования к усилению ЗИС.1:
-) исключение отображения функциональных возможностей по
-управлению (администрированию) информационной системой, управлению
-(администрированию) системой защиты информации в интерфейсе
-пользователя;
-) выделение автоматизированных рабочих мест для администраторов
-информационной системы;
-) выделение автоматизированных рабочих мест для администраторов
-безопасности.
-Содержание базовой меры ЗИС.1:
+Требования к усилению ЗИС.9:
+Не установлены.
-Мера защиты
+Содержание базовой меры ЗИС.9:
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.1
- + +
-Усиление ЗИС.1
-3
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.9
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.9
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-ЗИС.2 ПРЕДОТВРАЩЕНИЕ ЗАДЕРЖКИ ИЛИ ПРЕРЫВАНИЯ
-ВЫПОЛНЕНИЯ ПРОЦЕССОВ С ВЫСОКИМ ПРИОРИТЕТОМ СО СТОРОНЫ
-ПРОЦЕССОВ С НИЗКИМ ПРИОРИТЕТОМ
-Требования к реализации ЗИС.2: В информационной системе должно
+===ЗИС.10 ПОДТВЕРЖДЕНИЕ ПРОИСХОЖДЕНИЯ ИСТОЧНИКА ИНФОРМАЦИИ, ПОЛУЧАЕМОЙ В ПРОЦЕССЕ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ АДРЕСОВ ПО СЕТЕВЫМ ИМЕНАМ ИЛИ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ ИМЕН ПО СЕТЕВЫМ АДРЕСАМ ===
-обеспечиваться предотвращение задержки или прерывания выполнения
-процессов с высоким приоритетом со стороны процессов (служб, сервисов) с
-низким приоритетом, предусматривающее:
-определение приоритетов процессов (служб, сервисов) для пользователей
-и (или) групп пользователей и (или) ролей в информационной системе;
-выполнение процессов (служб, сервисов) в информационной системе с
-учетом их приоритета (в первую очередь должны выполняться процессы с
-более высоким приоритетом);
-исключение задержки и (или вмешательства) в выполнение процессов
-(служб, сервисов) с более высоким приоритетом со стороны процессов (служб,
-сервисов) с более низким приоритетом.
-Требования к усилению ЗИС.2:
+Требования к реализации ЗИС.10: В информационной системе должна
-) в информационной системе должно обеспечиваться исключение
+обеспечиваться возможность подтверждения происхождения источника и
-возможности несанкционированного изменения приоритетов выполнения
+целостности информации, получаемой в процессе определения сетевых адресов
-процессов.
+по сетевым именам или определения сетевых имен по сетевым адресам, в том
+числе с использованием DNS-серверов. При подтверждении происхождения
+источника должны обеспечиваться: 126
-Содержание базовой меры ЗИС.2:
+аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера,
+являющегося источником ответов на запросы (сервера доменных имен или
+DNS-сервер) по определению сетевых адресов (IP-адресов) по сетевым именам
+(доменные имена);
+аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера,
+являющегося источником ответов на запросы (кэширующий DNS-сервер) по
+определению сетевых имен (доменных имен) по сетевым адресам (IP-адресов).
-Мера защиты
+Требования к усилению ЗИС.10:
-информации
+) в информационной системе должен осуществляться процесс
-Класс защищенности информационной системы
+верификации цепочки доверия между основным (корневым) и подчиненными
-3 2 1
+(дочерними) доменами (например, с использованием записей ресурсов в
-ЗИС.2
+системе доменных имен, сопоставляющих сетевое имя и сетевой адрес средств
-Усиление ЗИС.2
+вычислительной техники и технических средств).
+Содержание базовой меры ЗИС.10:
-ЗИС.3 ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОТ РАСКРЫТИЯ,
+{| class="wikitable" width="600" border="1"
-МОДИФИКАЦИИ И НАВЯЗЫВАНИЯ (ВВОДА ЛОЖНОЙ ИНФОРМАЦИИ)
+ !width="10%" rowspan="2"|Мера защиты информации
-ПРИ ЕЕ ПЕРЕДАЧЕ (ПОДГОТОВКЕ К ПЕРЕДАЧЕ) ПО КАНАЛАМ СВЯЗИ,
+ !colspan="4" | Класс защищенности информационной системы
-ИМЕЮЩИМ ВЫХОД ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.10
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.10
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Требования к реализации ЗИС.3: Оператором должна быть обеспечена
-защита информации от раскрытия, модификации и навязывания (ввода ложной
-информации) при ее передаче (подготовке к передаче) по каналам связи,
-имеющим выход за пределы контролируемой зоны.
-Защита информации обеспечивается путем защиты каналов связи от
-несанкционированного физического доступа (подключения) к ним и (или)
-применения в соответствии с законодательством Российской Федерации
-средств криптографической защиты информации.
-Требования к усилению ЗИС.3:
-Не установлены.
-Содержание базовой меры ЗИС.3:
+===ЗИС.11 ОБЕСПЕЧЕНИЕ ПОДЛИННОСТИ СЕТЕВЫХ СОЕДИНЕНИЙ (СЕАНСОВ ВЗАИМОДЕЙСТВИЯ), В ТОМ ЧИСЛЕ ДЛЯ ЗАЩИТЫ ОТ ПОДМЕНЫ СЕТЕВЫХ УСТРОЙСТВ И СЕРВИСОВ ===
-Мера защиты
+Требования к реализации ЗИС.11: В информационной системе должно
-информации
+осуществляться обеспечение подлинности сетевых соединений (сеансов
-Класс защищенности информационной системы
+взаимодействия), в том числе для защиты от подмены сетевых устройств и
-3 2 1
+сервисов (защита от атак типа «человек посередине»).
-ЗИС.3 + + + +
+Для подтверждения подлинности сторон сетевого соединения (сеанса
-Усиление ЗИС.3
+взаимодействия) и защиты сетевых устройств и сервисов от подмены должна
+осуществляться их аутентификация в соответствии с ИАФ.2 и ЗИС.10.
+Контроль целостности передаваемой информации должен включать
+проверку целостности передаваемых пакетов и осуществляться в соответствии
+с ЗИС.3.
+Требования к усилению ЗИС.11:
+) в информационной системе должно обеспечиваться признание
+идентификатора сеанса связи недействительным после окончания сетевого
+соединения; 127
-ЗИС.4 ОБЕСПЕЧЕНИЕ ДОВЕРЕННЫХ КАНАЛА, МАРШРУТА
+) в информационной системе должна осуществляться регистрация
-МЕЖДУ АДМИНИСТРАТОРОМ, ПОЛЬЗОВАТЕЛЕМ И СРЕДСТВАМИ
+установления и разрыва сетевых соединений (сеансов взаимодействия) в целях
-ЗАЩИТЫ ИНФОРМАЦИИ (ФУНКЦИЯМИ БЕЗОПАСНОСТИ СРЕДСТВ
+выявления возможных инцидентов (событий безопасности);
-ЗАЩИТЫ ИНФОРМАЦИИ)
+) в информационной системе должна осуществляться генерация и
+присвоение уникальных идентификаторов (одноразовых) для каждого сетевого
+соединения (сеанса взаимодействия) и контроль их подлинности
+(восприниматься должны только идентификаторы, сгенерированные
+информационной системой);
+) в информационной системе должно обеспечиваться обнаружение
+попыток повторного использования идентификаторов сетевых соединений и
+реагирование на эти попытки;
+) в информационной системе должна осуществляться защита от подбора
+идентификаторов, присваиваемых будущим сетевым соединениям (сеансам
+взаимодействия).
-Требования к реализации ЗИС.4: В информационной системе должны
+Содержание базовой меры ЗИС.11:
-обеспечиваться доверенные маршруты передачи данных между
-администратором (пользователем) и средствами защиты информации
-(функциями безопасности средств защиты информации), определяемыми
-оператором.
-Оператором должен быть определен перечень целей (функций) передачи
-данных, для которых требуется доверенный канал (маршрут).
-Доверенный канал между пользователем и средствами защиты
-информации должен обеспечиваться при удаленном и локальном доступе в
-информационную систему.
-Требования к усилению ЗИС.4:
+{| class="wikitable" width="600" border="1"
-Не установлены. 120
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
-Содержание базовой меры ЗИС.4:
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
-Мера защиты
+ !align="center" width="15%"|2
-информации
+  !align="center" width="15%"|1
-Класс защищенности информационной системы
+  |-
-3 2 1
+ !width="40%" | ЗИС.11
-ЗИС.4
+  |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.11
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" | 1
+ |}
-Усиление ЗИС.4
+===ЗИС.12 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ ПОЛЬЗОВАТЕЛЕМ ФАКТА ОТПРАВКИ ИНФОРМАЦИИ ДРУГОМУ ПОЛЬЗОВАТЕЛЮ ===
-ЗИС.5 ЗАПРЕТ НЕСАНКЦИОНИРОВАННОЙ УДАЛЕННОЙ
+Требования к реализации ЗИС.12: Оператором должно обеспечиваться
-АКТИВАЦИИ ВИДЕОКАМЕР, МИКРОФОНОВ И ИНЫХ ПЕРИФЕРИЙНЫХ
+исключение возможности отрицания пользователем факта отправки
-УСТРОЙСТВ, КОТОРЫЕ МОГУТ АКТИВИРОВАТЬСЯ УДАЛЕННО, И
+информации другому пользователю.
-ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЕЙ ОБ АКТИВАЦИИ ТАКИХ УСТРОЙСТВ
+Для исключения возможности отрицания пользователем факта отправки
+информации другому пользователю должны осуществляться:
+определение объектов или типов информации, для которых требуется
+обеспечение неотказуемости отправки (например, сообщения электронной
+почты);
+обеспечение целостности информации при ее подготовки к передаче и
+непосредственной ее передачи по каналам связи в соответствии с ЗИС.3;
+регистрация событий, связанных с отправкой информации другому
+пользователю в соответствии с РСБ.2.
-Требования к реализации ЗИС.5: В информационной системе должны
+Требования к усилению ЗИС.12:
-осуществляться запрет несанкционированной удаленной активации
+) в информационной системе должна обеспечиваться генерация
-видеокамер, микрофонов и иных периферийных устройств, которые могут
+свидетельства отправления информации (например, электронной подписи); 128
-активироваться удаленно, и оповещение пользователей об активации таких
-устройств, в том числе путем сигнализации, индикации.
-Запрет несанкционированной удаленной активации должен
-осуществляться в отношении всех периферийных устройств ввода (вывода)
-информации, которые имеют возможность управления (запуска, включения,
-выключения) через компоненты программного обеспечение, установленные на
-рабочем месте пользователя, коммуникационных сервисов сторонних лиц
-(провайдеров), (ICQ, Skype и иные сервисы).
-Запрет несанкционированной удаленной активации должен
-осуществляться через физическое исключение такой возможности и (или)
-путем управления программным обеспечением.
-В исключительных случаях для решения установленных оператором
-отдельных задач, решаемых информационной системой, допускается
-возможность удаленной активации периферийных устройств. При этом должно
-быть обеспечено определение перечня периферийных устройств, для которых
-допускается возможность удаленной активации и обеспечен контроль за
-активацией таких устройств.
-Требования к усилению ЗИС.5:
+) в информационной системе должна обеспечиваться связь атрибутов
-) в информационной системе должна обеспечиваться возможность
+отправителя информации в соответствии с учетом ИАФ.1 и ИАФ.6 с полями
-физического отключения периферийных устройств (например, отключение при
+отправляемой информации (текстом сообщения);
-организации и проведении совещаний в помещениях, где размещены
+) в информационной системе должна быть обеспечена возможность
-видеокамеры и микрофоны);
+верификации (проверки) свидетельства отправления информации;
-) в информационной системе должна обеспечиваться возможность
+) в информационной системе должна быть обеспечена возможность
-блокирования входящего и исходящего трафика от пользователей систем,
+записи и защищенного хранения в течение установленного оператором времени
-предоставляющих внешние сервисы (например, системы
+информации, отправленной пользователем другому пользователю.
-видеоконференцсвязи), в которых конфигурации (настройки) сервисов для 121
-конечных пользователей устанавливаются провайдерами или самими
+Содержание базовой меры ЗИС.12:
-пользователями;
-) оператором обеспечивается удаление (отключение) из
-информационной системы (отдельных сегментов, например расположенных в
-защищаемых и выделенных помещениях) периферийных устройств, перечень
-которых определяется оператором;
-) оператором обеспечивается запись и хранение в течение
-установленного времени информации, переданной (полученной) по каналам
-передачи информации при разрешенной удаленной активации периферийных
-устройств ввода (вывода) информации.
-Содержание базовой меры ЗИС.5:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.12
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.12
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.5 + + + +
-Усиление ЗИС.5 1 1, 2
+===ЗИС.13 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ ПОЛЬЗОВАТЕЛЕМ ФАКТА ПОЛУЧЕНИЯ ИНФОРМАЦИИ ОТ ДРУГОГО ПОЛЬЗОВАТЕЛЯ ===
-ЗИС.6 ПЕРЕДАЧА И КОНТРОЛЬ ЦЕЛОСТНОСТИ АТРИБУТОВ
+Требования к реализации ЗИС.13: Оператором должно обеспечиваться
-БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С
+исключение возможности отрицания пользователем факта получения
-ИНФОРМАЦИЕЙ, ПРИ ОБМЕНЕ ИНФОРМАЦИЕЙ С ИНЫМИ
+информации от другого пользователя.
-ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
+Для исключения возможности отрицания пользователем факта получения
+информации должны осуществляться:
+определение объектов или типов информации, для которых требуется
+обеспечение неотказуемости получения (сообщения электронной почты);
+обеспечение целостности полученной информации в соответствии с
+ЗИС.3;
+регистрация событий, связанных с получением информации от другого
+пользователя в соответствии с РСБ.2.
-Требования к реализации ЗИС.6: В информационной системе должна
+Требования к усилению ЗИС.13:
-осуществляться передача, сопоставление (сравнение) атрибутов безопасности
+) в информационной системе должна обеспечиваться генерация
-(меток безопасности) с информацией, которой она обменивается с иными
+свидетельства получения информации (запрос подтверждения получения или
-(внешними) информационными системами.
+электронная подпись);
-Атрибуты безопасности могут сопоставляться с информацией,
+) в информационной системе должна быть обеспечена связь атрибутов
-содержащейся в информационной системе, в явном или скрытом виде.
+получателя информации в соответствии с ИАФ.1 и ИАФ.6 с полями
-Меры по передаче и контролю целостности (сопоставлению, сравнению)
+отправляемой информации (текстом сообщения);
-атрибутов безопасности (меток безопасности) реализуются в соответствии с
+) в информационной системе должна быть обеспечена возможность
-УПД.12.
+верификации (проверки) свидетельства получения информации; 129
-Требования к усилению ЗИС.6:
+) в информационной системе должна быть обеспечена возможность
-) в информационной системе должен обеспечиваться контроль
+записи и защищенного хранения в течение установленного оператором времени
-целостности атрибутов безопасности (меток безопасности).
+информации, полученной пользователем от другого пользователя.
+Содержание базовой меры ЗИС.13:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.13
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.13
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
+===ЗИС.14 ИСПОЛЬЗОВАНИЕ УСТРОЙСТВ ТЕРМИНАЛЬНОГО ДОСТУПА ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ ===
+Требования к реализации ЗИС.14: Оператором для обработки
+информации в информационной системе должны применяться устройства
+терминального доступа, обладающие минимальными функциональными
+возможностями по обработке и хранению информации.
+Применение устройств терминального доступа должно быть направлено
+на сосредоточение основных функций по обработке и хранению информации на
+серверах (в центрах обработки данных), уменьшение состава мер защиты
+информации, реализуемых на каждой рабочей станции, и перенос их
+реализации на серверы.
+К таким устройствам относятся, в том числе, бездисковые рабочие
+станции, при использовании которых информация текущей сессии хранится в
+оперативной памяти или на защищенном съемном машинном носителей
+информации.
-Содержание базовой меры ЗИС.6:
+Требования к усилению ЗИС.14:
+Не установлены.
-Мера защиты
+Содержание базовой меры ЗИС.14:
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.6
-Усиление ЗИС.6
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.14
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.14
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-ЗИС.7 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ
+===ЗИС.15 ЗАЩИТА АРХИВНЫХ ФАЙЛОВ, ПАРАМЕТРОВ НАСТРОЙКИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ИНЫХ ДАННЫХ, НЕ ПОДЛЕЖАЩИХ ИЗМЕНЕНИЮ В ПРОЦЕССЕ ОБРАБОТКИ ИНФОРМАЦИИ ===
-НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ
-МОБИЛЬНОГО КОДА, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ,
-СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО
-КОДА, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С
-ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА
-Требования к реализации ЗИС.7: Оператором должны осуществляться
-контроль санкционированного и исключение несанкционированного
-использования технологий мобильного кода (активного контента) в
-информационной системе, в том числе регистрация событий, связанных с
-использованием технологии мобильного кода, их анализ и реагирование на
-нарушения, связанные с использованием технологии мобильного кода.
-Технология мобильного кода включает, в том числе использование Java,
-JavaScript, ActiveX, PDF, Postscript, Flash-анимация и VBScript и иных
-технологий.
-При контроле использования технологий мобильного кода должно быть
-обеспечено:
-определение перечня мобильного кода и технологий мобильного кода
-разрешенных и (или) запрещенных для использования в информационной
-системе;
-определение разрешенных мест распространения (серверы
-информационной системы) и использования мобильного кода
-(автоматизированные рабочие места, мобильные технические средства
-информационной системы) и функций информационной системы, для которых
-необходимо применение технологии мобильного кода;
-регистрация и анализ событий, связанных с разработкой, приобретением
-или внедрением технологии мобильного кода;
-исключение возможности использования запрещенного мобильного кода
-в информационной системе, а также внедрение мобильного кода в местах, не
-разрешенных для его установки.
-Процедуры контроля санкционированного и исключения
-несанкционированного использования технологий мобильного кода должны
-быть отражены в организационно-распорядительных документах по защите
-информации. 123
+Требования к реализации ЗИС.15: В информационной системе должна
+обеспечиваться защита архивных файлов, параметров настройки средств
+защиты информации и программного обеспечения, иных данных, не
+подлежащих изменению в процессе обработки информации.
+Защита архивных файлов, параметров настройки средств защиты
+информации и программного обеспечения и иных данных, не подлежащих
+изменению в процессе обработки информации, обеспечивается принятием мер
+защиты информации, определенных оператором в соответствии с настоящим
+методическим документом, направленных на обеспечение их
+конфиденциальности и целостности.
+Защита данных, не подлежащих изменению в процессе обработки
+информации, обеспечивается в отношении информации, хранящейся на
+жестких магнитных дисках, дисковых накопителях и иных накопителях в
+информационной системе.
-Требования к усилению ЗИС.7:
+Требования к усилению ЗИС.15:
-) в информационной системе должны быть реализованы механизмы
+) оператором для обеспечения конфиденциальности и целостности
-обнаружения и анализа мобильного кода для выявления фактов
+архивных файлов, параметров настройки средств защиты информации и
-несанкционированного использования мобильного кода и выполнения действий
+программного обеспечения и иных данных, не подлежащих изменению в
-по реагированию (оповещение администраторов, изоляция мобильного кода
+процессе обработки информации, в соответствии с законодательством
-(перемещение в карантин), блокирование мобильного кода, удаление
+Российской Федерации применяются криптографические (шифровальные)
-мобильного кода) и иные действия, определяемые оператором;
+средства защиты информации (данных);
-) в информационной системе должен осуществляться запрет загрузки и
+) использование неперезаписываемых носителей или носителей с
-выполнения запрещенного мобильного кода;
+защищенной областью памяти для размещения (хранения) параметров
-) в информационной системе для приложений, определяемых
+настройки средств защиты информации и программного обеспечения и иных
-оператором, должен осуществляться запрет автоматического выполнения
+данных, не подлежащих изменению в процессе обработки информации.
-разрешенного мобильного кода (уведомление пользователя о получении
-мобильного кода и запрос разрешения на запуск или иные действия
-определяемые оператором);
-) в информационной системе должен осуществляться контроль
-подлинности источника мобильного кода и целостности мобильного кода.
-Содержание базовой меры ЗИС.7:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.7 + +
-Усиление ЗИС.7 1 1, 2
+Содержание базовой меры ЗИС.15:
-ЗИС.8 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ
+{| class="wikitable" width="600" border="1"
-НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ
+ !width="10%" rowspan="2"|Мера защиты информации
-ПЕРЕДАЧИ РЕЧИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ,
+ !colspan="4" | Класс защищенности информационной системы
-СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, ИХ
+ |-
-АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С
+ !align="center" width="15%"|4
-ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.15
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.15
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Требования к реализации ЗИС.8: Оператором должны осуществляться
+===ЗИС.16 ВЫЯВЛЕНИЕ, АНАЛИЗ И БЛОКИРОВАНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ СКРЫТЫХ КАНАЛОВ ПЕРЕДАЧИ ИНФОРМАЦИИ В ОБХОД РЕАЛИЗОВАННЫХ МЕР ЗАЩИТЫ ИНФОРМАЦИИ ИЛИ ВНУТРИ РАЗРЕШЕННЫХ СЕТЕВЫХ ПРОТОКОЛОВ ===
-контроль санкционированного и исключение несанкционированного
-использования технологий передачи речи в информационной системе, в том
-числе регистрация событий, связанных с использованием технологий передачи
-речи, их анализ и реагирование на нарушения, связанные с использованием
-технологий передачи речи. При контроле использования технологий передачи
-речи должно быть обеспечено:
-определение перечня технологий (сервисов) передачи речи разрешенных
-и (или) запрещенных для использования в информационной системе; 124
-определение категорий пользователей, которым разрешены разработка,
+Требования к реализации ЗИС.16: Оператором должны выполняться
-приобретение или внедрение технологий передачи речи;
+мероприятия по выявлению и анализу скрытых каналов передачи информации
-реализация параметров настройки, исключающих возможность
+для определения параметров передачи информации, которые могут
-удаленной конфигурации устройств передачи речи;
+использоваться для скрытого хранения информации и скрытой передачи
-регистрация и анализ событий, связанных с разработкой, приобретением
+информации за пределы информационной системы.
-и внедрением технологий передачи речи;
+Выявление, анализ и блокирование скрытых каналов передачи
-исключение возможности использования запрещенной технологии
+информации выполняется с учетом национальных стандартов:
-передачи речи в информационной системе, а также разработки, приобретения и
+ГОСТ Р 53113-2008 Информационная технология. Защита
-внедрения технологий передачи речи пользователям, которым не разрешено ее
+информационных технологий и автоматизированных систем от угроз
-использование.
+информационной безопасности, реализуемых с использованием скрытых
-Технология передачи речи включает, в том числе, передачу речи через
+каналов. Часть 1. Общие положения;
-Интернет VoIP.
+ГОСТ Р 53113.2-2009 Информационная технология. Защита
-Процедуры контроля санкционированного и исключения
+информационных технологий и автоматизированных систем от угроз
-несанкционированного использования технологий передачи речи должны быть
+информационной безопасности, реализуемых с использованием скрытых
-отражены в организационно-распорядительных документах по защите
+каналов. Часть 2. Рекомендации по организации защиты информации,
+информационных технологий и автоматизированных систем от атак с
+использованием скрытых каналов.
+Выявление и анализ скрытых каналов передачи информации
+осуществляется на этапах разработки и реализации системы защиты
 информации.
-Требования к усилению ЗИС.8:
+Требования к усилению ЗИС.16:
 Не установлены.
-Содержание базовой меры ЗИС.8:
+Содержание базовой меры ЗИС.16:
-Мера защиты
+{| class="wikitable" width="600" border="1"
-информации
+ !width="10%" rowspan="2"|Мера защиты информации
-Класс защищенности информационной системы
+ !colspan="4" | Класс защищенности информационной системы
-3 2 1
+ |-
-ЗИС.8 + +
+ !align="center" width="15%"|4
-Усиление ЗИС.8
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.16
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.16
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-ЗИС.9 КОНТРОЛЬ САНКЦИОНИРОВАННОЙ И ИСКЛЮЧЕНИЕ
+===ЗИС.17 РАЗБИЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА СЕГМЕНТЫ (СЕГМЕНТИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ) И ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРИМЕТРОВ СЕГМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ ===
-НЕСАНКЦИОНИРОВАННОЙ ПЕРЕДАЧИ ВИДЕОИНФОРМАЦИИ, В ТОМ
-ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ПЕРЕДАЧЕЙ
+Требования к реализации ЗИС.17: Оператором осуществляется
-ВИДЕОИНФОРМАЦИИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА
+разбиение информационной системы на сегменты (сегментирование
-НАРУШЕНИЯ, СВЯЗАННЫЕ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ
+информационной системы) и обеспечивается защита периметров сегментов
+информационной системы.
+Сегментирование информационной системы проводится с целью
+построения многоуровневой (эшелонированной) системы защиты информации
+путем построения сегментов на различных физических доменах или средах.
+Принципы сегментирования информационной системы определяются
+оператором с учетом функциональных и технологических особенностей
+процесса обработки информации и анализа угроз безопасности информации и
+должны заключаться в снижении вероятности реализации угроз и (или) их
+локализации в рамках одного сегмента.
+Сегментирование информационной системы также может проводиться с
+целью разделения информационной системы на сегменты, имеющие различные
+классы защищенности информационной системы.
+При сегментировании информационной системы должна быть обеспечена
+защита периметров сегментов информационной системы в соответствии с
+УПД.3 и ЗИС.23.
+Требования к усилению ЗИС.17:
+) оператором осуществляется выделение сегментов информационной
+системы для размещения общедоступной (публичной) информации:
+а) путем выделения отдельных физических сетевых интерфейсов
+коммуникационного оборудования и (или) средств защиты периметра;
+б) путем физической изоляции сегментов информационной системы для
+размещения общедоступной (публичной) информации.
-Требования к реализации ЗИС.9: Оператором должны осуществляться
-контроль санкционированного и исключение несанкционированного
-использования технологий передачи видеоинформации в информационной
-системе, в том числе регистрация событий, связанных с использованием
-технологий передачи видеоинформации, их анализ и реагирование на
-нарушения, связанные с использованием технологий передачи
-видеоинформации. При контроле использования технологий передачи
-видеоинформации должно быть обеспечено: 125
-определение перечня технологий (сервисов) передачи видеоинформации
+{| class="wikitable" width="600" border="1"
-разрешенных и (или) запрещенных для использования в информационной
+ !width="10%" rowspan="2"|Мера защиты информации
-системе;
+ !colspan="4" | Класс защищенности информационной системы
-определение категорий пользователей, которым разрешены разработка,
+ |-
-приобретение или внедрение технологий передачи видеоинформации;
+ !align="center" width="15%"|4
-реализация параметров настройки, исключающих возможность
+ !align="center" width="15%"|3
-удаленной конфигурации устройств передачи видеоинформации;
+ !align="center" width="15%"|2
-регистрация и анализ событий, связанных с разработкой, приобретением
+ !align="center" width="15%"|1
-и внедрением технологий передачи видеоинформации;
+ |-
-исключение возможности использования запрещенной технологии
+ !width="40%" | ЗИС.17
-передачи видеоинформации в информационной системе, а также разработки,
+ |align="center" |
-приобретения и внедрения технологий передачи видеоинформации
+ |align="center" |
-пользователям, которым не разрешено ее использование.
+ |align="center" | +
-Технология передачи видеоинформации включает, в том числе,
+ |align="center" | +
-применение технологий видеоконференцсвязи.
+ |-
-Процедуры контроля санкционированного и исключения
+ !Усиление ЗИС.17
-несанкционированного использования технологий передачи видеоинформации
+ |align="center" |
-должны быть отражены в организационно-распорядительных документах по
+ |align="center" |
-защите информации.
+ |align="center" |
+ |align="center" |
+ |}
-Требования к усилению ЗИС.9:
+===ЗИС.18 ОБЕСПЕЧЕНИЕ ЗАГРУЗКИ И ИСПОЛНЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ, ДОСТУПНЫХ ТОЛЬКО ДЛЯ ЧТЕНИЯ, И КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ===
-Не установлены.
-Содержание базовой меры ЗИС.9:
+Требования к реализации ЗИС.18: В информационной системе
+обеспечиваются:
+выделение в составе операционной системы и прикладного обеспечения
+частей, немодифицируемых в процессе загрузки и выполнения, и размещение
+их на машинных носителях информации, доступных только для чтения;
+загрузка и выполнение на средствах вычислительной техники,
+определяемых оператором, операционной системы с машинных носителей
+информации, доступных только для чтения;
+загрузка и выполнение на средствах вычислительной техники
+прикладного программного обеспечения, определяемого оператором, с
+машинных носителей информации, доступных только для чтения.
+В качестве машинных носителей информации, доступных только для
+чтения, рассматриваются, в том числе, оптические носители CD-R/DVD-R или
+иные аппаратные машинные носители информации, возможность перезаписи
+на которые исключена технологически.
-Мера защиты
+Требования к усилению ЗИС.18:
-информации
+) в сегментах (компонентах) информационной системы, определяемых
-Класс защищенности информационной системы
+оператором, применяются неперезаписываемые (защищенные от записи)
-3 2 1
+машинные носители информации, устойчивые к сбоям в программном
-ЗИС.9 + +
+обеспечении информационной системы и отключению питания;
-Усиление ЗИС.9
+) оператором должен осуществляться контроль целостности
+программного обеспечения, записанного на машинные носители информации,
+доступные только для чтения, в соответствии с ОЦЛ.1.
+Содержание базовой меры ЗИС.18:
-ЗИС.10 ПОДТВЕРЖДЕНИЕ ПРОИСХОЖДЕНИЯ ИСТОЧНИКА
+{| class="wikitable" width="600" border="1"
-ИНФОРМАЦИИ, ПОЛУЧАЕМОЙ В ПРОЦЕССЕ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ
+ !width="10%" rowspan="2"|Мера защиты информации
-АДРЕСОВ ПО СЕТЕВЫМ ИМЕНАМ ИЛИ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ
+ !colspan="4" | Класс защищенности информационной системы
-ИМЕН ПО СЕТЕВЫМ АДРЕСАМ
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.18
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.18
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Требования к реализации ЗИС.10: В информационной системе должна
-обеспечиваться возможность подтверждения происхождения источника и
-целостности информации, получаемой в процессе определения сетевых адресов
-по сетевым именам или определения сетевых имен по сетевым адресам, в том
-числе с использованием DNS-серверов. При подтверждении происхождения
-источника должны обеспечиваться: 126
-аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера,
+===ЗИС.19 ИЗОЛЯЦИЯ ПРОЦЕССОВ (ВЫПОЛНЕНИЕ ПРОГРАММ) В ВЫДЕЛЕННОЙ ОБЛАСТИ ПАМЯТИ ===
-являющегося источником ответов на запросы (сервера доменных имен или
-DNS-сервер) по определению сетевых адресов (IP-адресов) по сетевым именам
-(доменные имена);
-аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера,
-являющегося источником ответов на запросы (кэширующий DNS-сервер) по
-определению сетевых имен (доменных имен) по сетевым адресам (IP-адресов).
-Требования к усилению ЗИС.10:
+Требования к реализации ЗИС.19: В информационной системе должна
-) в информационной системе должен осуществляться процесс
+осуществляться изоляция процессов (выполнение программ) в выделенной
-верификации цепочки доверия между основным (корневым) и подчиненными
+области памяти.
-(дочерними) доменами (например, с использованием записей ресурсов в
+Изоляция процессов (выполнение программ) в выделенной области
-системе доменных имен, сопоставляющих сетевое имя и сетевой адрес средств
+памяти должна обеспечивать недоступность областей памяти, используемых
-вычислительной техники и технических средств).
+процессами (программами) выполняемыми от имени одного пользователя
+(учетной записи), для процессов (программ), исполняемых от имени другого
+пользователя (учетной записи).
+Изоляция процессов (выполнение программ) в выделенной области
+памяти реализуется в средствах вычислительной техники, определенных
+оператором, и как минимум должна включать изоляцию процессов, связанных с
+выполнением функций безопасности средств защиты информации.
-Содержание базовой меры ЗИС.10:
+Требования к усилению ЗИС.19:
+Не установлены.
-Мера защиты
+Содержание базовой меры ЗИС.19:
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.10
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.19
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.19
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Усиление ЗИС.10
+===ЗИС.20 ЗАЩИТА БЕСПРОВОДНЫХ СОЕДИНЕНИЙ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ===
+Требования к реализации ЗИС.20: Оператором должна быть
+обеспечена защита беспроводных соединений, применяемых в
+информационной системе. Защита беспроводных соединений включает:
+ограничение на использование беспроводных соединений (802.11х Wi-Fi,
+.15.1 Bluetooth и иных беспроводных соединений) в соответствии с задачами
+(функциями) информационной системы, для решения которых такие
+соединения необходимы;
+предоставление доступа к параметрам (изменению параметров)
+настройки беспроводных соединений только администраторам
+информационной системы;
+обеспечение возможности реализации беспроводных соединений только
+через контролируемые интерфейсы (в том числе, путем применения средств
+защиты информации); 135
-ЗИС.11 ОБЕСПЕЧЕНИЕ ПОДЛИННОСТИ СЕТЕВЫХ СОЕДИНЕНИЙ
+регистрация и анализ событий, связанных с использованием
-(СЕАНСОВ ВЗАИМОДЕЙСТВИЯ), В ТОМ ЧИСЛЕ ДЛЯ ЗАЩИТЫ ОТ
+беспроводных соединений, в том числе для выявления попыток
-ПОДМЕНЫ СЕТЕВЫХ УСТРОЙСТВ И СЕРВИСОВ
+несанкционированного подключения к информационной системе через
+беспроводные соединения.
-Требования к реализации ЗИС.11: В информационной системе должно
+При обеспечении защиты беспроводных соединений в зависимости от их
-осуществляться обеспечение подлинности сетевых соединений (сеансов
+типов должны реализовываться меры по идентификации и аутентификации в
-взаимодействия), в том числе для защиты от подмены сетевых устройств и
+соответствии с ИАФ.1, ИАФ.2 и ИАФ.6.
-сервисов (защита от атак типа «человек посередине»).
+При невозможности исключения установления беспроводных соединений
-Для подтверждения подлинности сторон сетевого соединения (сеанса
+из-за пределов контролируемой зоны должны приниматься меры защищенного
-взаимодействия) и защиты сетевых устройств и сервисов от подмены должна
+удаленного доступа в соответствии с УПД.13 и ЗИС.3.
-осуществляться их аутентификация в соответствии с ИАФ.2 и ЗИС.10.
+Порядок и правила применения беспроводных соединений
-Контроль целостности передаваемой информации должен включать
+регламентируются в организационно-распорядительных документах по защите
-проверку целостности передаваемых пакетов и осуществляться в соответствии
+информации оператора.
-с ЗИС.3.
-Требования к усилению ЗИС.11:
+Требования к усилению ЗИС.20:
-) в информационной системе должно обеспечиваться признание
+) оператором для защиты беспроводных соединений в соответствии с
-идентификатора сеанса связи недействительным после окончания сетевого
+законодательством Российской Федерации должны применяться средства
-соединения; 127
+криптографической защиты информации;
+) в информационной системе должны применяться автоматизированные
+программно-технические средства обнаружения, анализа и блокирования
+несанкционированного использования беспроводных технологий и
+подключений к информационной системе;
+) в информационной системе должна быть исключена возможность
+установления беспроводных соединений из-за пределов контролируемой зоны.
-) в информационной системе должна осуществляться регистрация
+Содержание базовой меры ЗИС.20:
-установления и разрыва сетевых соединений (сеансов взаимодействия) в целях
-выявления возможных инцидентов (событий безопасности);
-) в информационной системе должна осуществляться генерация и
-присвоение уникальных идентификаторов (одноразовых) для каждого сетевого
-соединения (сеанса взаимодействия) и контроль их подлинности
-(восприниматься должны только идентификаторы, сгенерированные
-информационной системой);
-) в информационной системе должно обеспечиваться обнаружение
-попыток повторного использования идентификаторов сетевых соединений и
-реагирование на эти попытки;
-) в информационной системе должна осуществляться защита от подбора
-идентификаторов, присваиваемых будущим сетевым соединениям (сеансам
-взаимодействия).
-Содержание базовой меры ЗИС.11:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.20
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.20
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.11 + +
-Усиление ЗИС.11 1
+===ЗИС.21 ИСКЛЮЧЕНИЕ ДОСТУПА ПОЛЬЗОВАТЕЛЯ К ИНФОРМАЦИИ, ВОЗНИКШЕЙ В РЕЗУЛЬТАТЕ ДЕЙСТВИЙ ПРЕДЫДУЩЕГО ПОЛЬЗОВАТЕЛЯ ЧЕРЕЗ РЕЕСТРЫ, ОПЕРАТИВНУЮ ПАМЯТЬ, ВНЕШНИЕ ЗАПОМИНАЮЩИЕ УСТРОЙСТВА И ИНЫЕ ОБЩИЕ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ РЕСУРСЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ ===
-ЗИС.12 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ
+Требования к реализации ЗИС.21: В информационной системе должен
-ПОЛЬЗОВАТЕЛЕМ ФАКТА ОТПРАВКИ ИНФОРМАЦИИ ДРУГОМУ
+быть исключен доступ пользователя к информации, возникшей в результате
-ПОЛЬЗОВАТЕЛЮ
+действий предыдущего пользователя через реестры, оперативную память, 136
-Требования к реализации ЗИС.12: Оператором должно обеспечиваться
+внешние запоминающие устройства, ресурсы файловой системы и иные общие
-исключение возможности отрицания пользователем факта отправки
+для пользователей ресурсы информационной системы.
-информации другому пользователю.
+Исключение доступа к информации через общие для пользователей
-Для исключения возможности отрицания пользователем факта отправки
+ресурсы должно обеспечивать запрет доступа текущему пользователю (учетной
-информации другому пользователю должны осуществляться:
+записи) или текущему процессу к системным ресурсам (реестрам, оперативной
-определение объектов или типов информации, для которых требуется
+памяти, внешним запоминающим устройствам) при их повторном
-обеспечение неотказуемости отправки (например, сообщения электронной
+использовании, в которых хранится информация другого (предыдущего)
-почты);
+пользователя.
-обеспечение целостности информации при ее подготовки к передаче и
-непосредственной ее передачи по каналам связи в соответствии с ЗИС.3;
-регистрация событий, связанных с отправкой информации другому
-пользователю в соответствии с РСБ.2.
-Требования к усилению ЗИС.12:
+Требования к усилению ЗИС.21:
-) в информационной системе должна обеспечиваться генерация
+) в информационной системе должна быть исключена возможность
-свидетельства отправления информации (например, электронной подписи); 128
+использоваться в качестве общих для пользователей ресурсов информационной
+системы, которые используются как интерфейс (память, однонаправленные
+интерфейсы (устройства) и сетевые карты) взаимодействия (связи) с системами,
+имеющими другие классы защищенности.
-) в информационной системе должна обеспечиваться связь атрибутов
+Содержание базовой меры ЗИС.21:
-отправителя информации в соответствии с учетом ИАФ.1 и ИАФ.6 с полями
-отправляемой информации (текстом сообщения);
-) в информационной системе должна быть обеспечена возможность
-верификации (проверки) свидетельства отправления информации;
-) в информационной системе должна быть обеспечена возможность
-записи и защищенного хранения в течение установленного оператором времени
-информации, отправленной пользователем другому пользователю.
-Содержание базовой меры ЗИС.12:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.21
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |-
+ !Усиление ЗИС.21
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.12 + +
-Усиление ЗИС.12
-ЗИС.13 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ
+===ЗИС.22 ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, НАПРАВЛЕННЫХ НА ОТКАЗ В ОБСЛУЖИВАНИИ ЭТОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ===
-ПОЛЬЗОВАТЕЛЕМ ФАКТА ПОЛУЧЕНИЯ ИНФОРМАЦИИ ОТ ДРУГОГО
-ПОЛЬЗОВАТЕЛЯ
-Требования к реализации ЗИС.13: Оператором должно обеспечиваться
+Требования к реализации ЗИС.22: В информационной системе должна
-исключение возможности отрицания пользователем факта получения
+обеспечиваться защита от угроз безопасности информации, направленных на
-информации от другого пользователя.
+отказ в обслуживании этой системы.
-Для исключения возможности отрицания пользователем факта получения
+Оператором должен быть определен перечень угроз (типов угроз)
-информации должны осуществляться:
+безопасности информации, направленных на отказ в обслуживании,
-определение объектов или типов информации, для которых требуется
+являющихся актуальными для его информационной системы.
-обеспечение неотказуемости получения (сообщения электронной почты);
+Защита от угроз безопасности информации, направленных на отказ в
-обеспечение целостности полученной информации в соответствии с
+обслуживании, осуществляется посредством реализации в информационной
-ЗИС.3;
+системе мер защиты информационной системы в соответствии с ЗИС.23 и
-регистрация событий, связанных с получением информации от другого
+повышенными характеристиками производительности телекоммуникационного
-пользователя в соответствии с РСБ.2.
+оборудования и каналов передачи совместно с резервированием информации и
+технических средств, программного обеспечения, каналов передачи
+информации в соответствии с ОДТ.2, ОДТ.4 и ОДТ.5.
-Требования к усилению ЗИС.13:
+Требования к усилению ЗИС.22:
-) в информационной системе должна обеспечиваться генерация
+) в информационной системе обеспечивается ограничение возможностей
-свидетельства получения информации (запрос подтверждения получения или
+пользователей по реализации угроз безопасности информации, направленных
-электронная подпись);
+на отказ в обслуживании, в отношении отдельных сегментов информационной
-) в информационной системе должна быть обеспечена связь атрибутов
+системы и других информационных систем;
-получателя информации в соответствии с ИАФ.1 и ИАФ.6 с полями
+) в информационной системе обеспечивается управление
-отправляемой информации (текстом сообщения);
+характеристиками производительности телекоммуникационного оборудования
-) в информационной системе должна быть обеспечена возможность
+и каналов передачи информации в зависимости от интенсивности реализации
-верификации (проверки) свидетельства получения информации; 129
+угроз безопасности информации направленных на отказ в обслуживании;
+) оператором в установленном порядке обеспечивается использование
+услуг сторонних организаций (провайдеров) по «очистке» входящего трафика
+(для сброса потока пакетов, используемых нарушителем для реализации угроз
+безопасности, направленных на отказ в обслуживании этой информационной
+системы);
+) оператором обеспечивается применение средств защиты информации,
+предназначенных для нейтрализации угроз безопасности, направленных на
+отказ в обслуживании.
-) в информационной системе должна быть обеспечена возможность
+Содержание базовой меры ЗИС.22:
-записи и защищенного хранения в течение установленного оператором времени
-информации, полученной пользователем от другого пользователя.
-Содержание базовой меры ЗИС.13:
+{| class="wikitable" width="600" border="1"
+  !width="10%" rowspan="2"|Мера защиты информации
-Мера защиты
+ !colspan="4" | Класс защищенности информационной системы
-информации
+ |-
-Класс защищенности информационной системы
+ !align="center" width="15%"|4
-3 2 1
+ !align="center" width="15%"|3
-ЗИС.13 + +
+ !align="center" width="15%"|2
-Усиление ЗИС.13
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.22
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.22
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-ЗИС.14 ИСПОЛЬЗОВАНИЕ УСТРОЙСТВ ТЕРМИНАЛЬНОГО
+===ЗИС.23 ЗАЩИТА ПЕРИМЕТРА (ФИЗИЧЕСКИХ И (ИЛИ) ЛОГИЧЕСКИХ ГРАНИЦ) ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРИ ЕЕ ВЗАИМОДЕЙСТВИИ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫМИ СЕТЯМИ ===
-ДОСТУПА ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ
-Требования к реализации ЗИС.14: Оператором для обработки
+Требования к реализации ЗИС.23: В информационной системе должна
-информации в информационной системе должны применяться устройства
+осуществляться защита периметра (физических и (или) логических границ)
-терминального доступа, обладающие минимальными функциональными
+информационной системы при ее взаимодействии с иными информационными
-возможностями по обработке и хранению информации.
+системами и информационно-телекоммуникационными сетями,
-Применение устройств терминального доступа должно быть направлено
+предусматривающая:
-на сосредоточение основных функций по обработке и хранению информации на
+управление (контроль) входящими в информационную систему и
-серверах (в центрах обработки данных), уменьшение состава мер защиты
+исходящими из информационной системы информационными потоками на
-информации, реализуемых на каждой рабочей станции, и перенос их
+физической и (или) логической границе информационной системы (сегментах
-реализации на серверы.
+информационных систем);
-К таким устройствам относятся, в том числе, бездисковые рабочие
+обеспечение взаимодействия информационной системы и (или) ее
-станции, при использовании которых информация текущей сессии хранится в
+сегментов с иными информационными системами и сетями только через 138
-оперативной памяти или на защищенном съемном машинном носителей
-информации.
-Требования к усилению ЗИС.14:
+сетевые интерфейсы, которые обеспечивают управление (контроль)
-Не установлены.
+информационными потоками с использованием средств защиты информации
+(управляемые (контролируемые) сетевые интерфейсы), установленных на
-Содержание базовой меры ЗИС.14:
+физическом и (или) логическом периметре информационной системы или ее
+отдельных сегментов (маршрутизаторов, межсетевых экранов, коммутаторов,
+прокси-серверов, шлюзов безопасности, средств построения виртуальных
+частных сетей и иных средств защиты информации).
-Мера защиты
+Требования к усилению ЗИС.23:
-информации
+) в информационной системе должна быть обеспечена возможность
-Класс защищенности информационной системы
+размещения публичных общедоступных ресурсов (например, общедоступный
-3 2 1
+веб-сервер), взаимодействующих с информационной системой через отдельные
-ЗИС.14
+физические управляемые (контролируемые) сетевые интерфейсы;
+) в информационной системе должно быть обеспечено предоставление
-Усиление ЗИС.14
+доступа во внутренние сегменты информационной системы
+(демилитаризованную зону) из внешних информационных систем и сетей
+только через средства защиты периметра (за исключением внутренних
+сегментов, которые специально выделены для такого взаимодействия);
+) оператор должен ограничить количество точек доступа в
+информационную систему из внешних информационных систем и сетей до
-ЗИС.15 ЗАЩИТА АРХИВНЫХ ФАЙЛОВ, ПАРАМЕТРОВ НАСТРОЙКИ
+минимально необходимого для решения задач и обеспечивающего постоянный
-СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
+и всесторонний контроль входящих и исходящих информационных потоков;
-И ИНЫХ ДАННЫХ, НЕ ПОДЛЕЖАЩИХ ИЗМЕНЕНИЮ В ПРОЦЕССЕ
+) оператором в информационной системе:
-ОБРАБОТКИ ИНФОРМАЦИИ
+а) должен применяться отдельный физический управляемый
+(контролируемый) сетевой интерфейс для каждого внешнего
-Требования к реализации ЗИС.15: В информационной системе должна
+телекоммуникационного сервиса;
-обеспечиваться защита архивных файлов, параметров настройки средств
+б) должны быть установлены правила управления информационными
-защиты информации и программного обеспечения, иных данных, не
+потоками для каждого физического управляемого (контролируемого) сетевого
-подлежащих изменению в процессе обработки информации.
+интерфейса;
-Защита архивных файлов, параметров настройки средств защиты
+в) должна обеспечиваться защита информации при ее передаче по
-информации и программного обеспечения и иных данных, не подлежащих
+каналам связи, имеющим выход за пределы контролируемой зоны (при
-изменению в процессе обработки информации, обеспечивается принятием мер
+необходимости), путем применения организационно-технических мер или
-защиты информации, определенных оператором в соответствии с настоящим
+криптографических методов в соответствии с законодательством Российской
-методическим документом, направленных на обеспечение их
+Федерации;
-конфиденциальности и целостности.
+г) должно обеспечиваться обоснование и документирование всех
-Защита данных, не подлежащих изменению в процессе обработки
+исключений из правил управления информационными потоками, связанных с
-информации, обеспечивается в отношении информации, хранящейся на
+решением определенных задач в информационной системе, и определение
-жестких магнитных дисках, дисковых накопителях и иных накопителях в
+продолжительности потребности таких исключений;
-информационной системе.
+д) должно обеспечиваться удаление введенных исключений из правил
+управления информационными потоками после истечения установленного
+времени;
+) в информационной системе должен быть исключен выход (вход) через
+управляемые (контролируемые) сетевые интерфейсы информационных потоков
+по умолчанию (реализация принципа «запрещено все, что не разрешено»); 139
-Требования к усилению ЗИС.15:
+) оператором обеспечивается запрет передачи информации за пределы
-) оператором для обеспечения конфиденциальности и целостности
+периметра информационной системы при отказе (сбое) функционирования
-архивных файлов, параметров настройки средств защиты информации и
+средств защиты периметра;
-программного обеспечения и иных данных, не подлежащих изменению в
+) в информационной системе должна быть исключена возможность
-процессе обработки информации, в соответствии с законодательством
+информационного взаимодействия мобильных и иных технических средств
-Российской Федерации применяются криптографические (шифровальные)
+(устройств) с внешними информационными системами и информационно-
-средства защиты информации (данных);
+телекоммуникационным сетям в процессе их удаленного подключения к
-) использование неперезаписываемых носителей или носителей с
+защищаемой информационной системе с использованием средств построения
-защищенной областью памяти для размещения (хранения) параметров
+виртуальных частных сетей;
-настройки средств защиты информации и программного обеспечения и иных
+) в информационной системе обеспечивается сетевое соединение
-данных, не подлежащих изменению в процессе обработки информации.
+внутренних сегментов информационной системы (отдельных средств
+вычислительных техники), определенных оператором, с установленными им
+внешними информационными системами и сетями через прокси-серверы,
+размещенные совместно со средствами защиты периметра, обеспечивающие
+логирование (отслеживание) TCP-сессий, блокирование конкретных URL,
+доменных имен, IP-адресов и другим параметрам запросов к внешним
+информационным ресурсам;
+) в информационной системе исключается возможность выхода через
+управляемые (контролируемые) сетевые интерфейсы информационных
+потоков, содержащих вредоносное программное обеспечение (вирусы) или
+признаки компьютерных атак представляющих угрозу внешним
+информационным системам и сетям;
+) в информационной системе исключается возможность утечки
+информации через управляемые (контролируемые) сетевые интерфейсы путем
+точного соблюдения форматов протоколов, контроля использования
+стеганографии, отключения внешних сетевых интерфейсов, разборки и сборки
+пакетов данных, контроля отклонения типа и объема информационного потока
+от установленного профиля;
+) в информационной системе должна быть обеспечена проверка адреса
+источника информационного потока и адреса получателя информационного
+потока с целью подтверждения того, что информационное взаимодействие
+между этими адресами разрешено;
+) в информационной системе обеспечивается защита периметра с
+использованием шлюза безопасности на уровне узлов (хостов) для серверов,
+рабочих станций и мобильных технических средств;
+) в информационной системе обеспечивается сокрытие сетевых адресов
+используемых для управления средствами защиты периметра, информация о
+которых может быть получена через технологии определения устройств в сети
+(в частности систему доменных имен);
+) оператором обеспечивается отделение через отдельный физический
+управляемый (контролируемый) сетевой интерфейс функций безопасности и
+управления (администрирования) информационной системы, определенных
+оператором, от других (внутренних) компонентов информационной системы;
+) оператором обеспечивается исключение возможности
+несанкционированного физического сетевого подключения к управляемым 140
-Содержание базовой меры ЗИС.15:
+(контролируемым) сетевым интерфейсам (сетевым интерфейсам средств
+защиты периметра);
-Мера защиты
+) в информационной системе для контроля (анализа) защищенности
-информации
+доступ администраторов обеспечивается через выделенный отдельный
-Класс защищенности информационной системы
+физический управляемый (контролируемый) сетевой интерфейс;
-3 2 1
+) оператором применяются автоматизированные средства,
-ЗИС.15 + +
+обеспечивающие строгое соблюдение формата сетевых протоколов на уровне
-Усиление ЗИС.15
+приложений (проверка пакетов на предмет соблюдения спецификаций
+протокола на уровне приложений);
+) в информационной системе обеспечивается корректное завершение ее
+функционирования в случае нарушения функционирования (сбоя, отказов)
+средств защиты периметра;
+) в информационной системе при необходимости предоставлять доступ
+к ресурсам информационной системы должна быть организована
+демилитаризованная зона, содержащая доступные ресурсы.
+) в информационной системе должна быть обеспечена возможность
+размещения публичных общедоступных ресурсов (например, общедоступный
+веб-сервер), взаимодействующих с информационной системой через отдельные
+физические управляемые (контролируемые) сетевые интерфейсы.
+Содержание базовой меры ЗИС.23:
-ЗИС.16 ВЫЯВЛЕНИЕ, АНАЛИЗ И БЛОКИРОВАНИЕ В
+{| class="wikitable" width="600" border="1"
-ИНФОРМАЦИОННОЙ СИСТЕМЕ СКРЫТЫХ КАНАЛОВ ПЕРЕДАЧИ
+ !width="10%" rowspan="2"|Мера защиты информации
-ИНФОРМАЦИИ В ОБХОД РЕАЛИЗОВАННЫХ МЕР ЗАЩИТЫ
+ !colspan="4" | Класс защищенности информационной системы
-ИНФОРМАЦИИ ИЛИ ВНУТРИ РАЗРЕШЕННЫХ СЕТЕВЫХ ПРОТОКОЛОВ
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.23
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.23
+ |align="center" |
+ |align="center" |
+ |align="center" | 1, 2, 3, 4а, 4б, 4в, 5
+ |align="center" | 1, 2, 3, 4а, 4б, 4в, 4г, 4д, 5, 6, 7
+ |}
+===ЗИС.24 ПРЕКРАЩЕНИЕ СЕТЕВЫХ СОЕДИНЕНИЙ ПО ИХ ЗАВЕРШЕНИИ ИЛИ ПО ИСТЕЧЕНИИ ЗАДАННОГО ОПЕРАТОРОМ ВРЕМЕННОГО ИНТЕРВАЛА НЕАКТИВНОСТИ СЕТЕВОГО СОЕДИНЕНИЯ ===
-Требования к реализации ЗИС.16: Оператором должны выполняться
+Требования к реализации ЗИС.24: В информационной системе должно
-мероприятия по выявлению и анализу скрытых каналов передачи информации
+осуществляться завершение сетевых соединений (например, открепление пары
-для определения параметров передачи информации, которые могут
+порт/адрес (ТСР/IP) по их завершении и (или) по истечении заданного
-использоваться для скрытого хранения информации и скрытой передачи
+оператором временного интервала неактивности сетевого соединения.
-информации за пределы информационной системы.
-Выявление, анализ и блокирование скрытых каналов передачи
-информации выполняется с учетом национальных стандартов:
-ГОСТ Р 53113-2008 Информационная технология. Защита
-информационных технологий и автоматизированных систем от угроз
-информационной безопасности, реализуемых с использованием скрытых
-каналов. Часть 1. Общие положения;
-ГОСТ Р 53113.2-2009 Информационная технология. Защита
-информационных технологий и автоматизированных систем от угроз
-информационной безопасности, реализуемых с использованием скрытых
-каналов. Часть 2. Рекомендации по организации защиты информации,
-информационных технологий и автоматизированных систем от атак с
-использованием скрытых каналов.
-Выявление и анализ скрытых каналов передачи информации
-осуществляется на этапах разработки и реализации системы защиты
-информации.
-Требования к усилению ЗИС.16:
+Требования к усилению ЗИС.24:
 Не установлены.
-Содержание базовой меры ЗИС.16:
-Мера защиты
+Содержание базовой меры ЗИС.24:
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.16
-Усиление ЗИС.16
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.24
+ |align="center" |
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.24
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-ЗИС.17 РАЗБИЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА
+===ЗИС.25 ИСПОЛЬЗОВАНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ИЛИ ЕЕ СЕГМЕНТАХ РАЗЛИЧНЫХ ТИПОВ ОБЩЕСИСТЕМНОГО, ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (СОЗДАНИЕ ГЕТЕРОГЕННОЙ СРЕДЫ) ===
-СЕГМЕНТЫ (СЕГМЕНТИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ) И
-ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРИМЕТРОВ СЕГМЕНТОВ
+Требования к реализации ЗИС.25: Проектировщиком при создании
-ИНФОРМАЦИОННОЙ СИСТЕМЫ
+информационной должны применяться различные типы общесистемного,
+прикладного и специального программного обеспечения (создание
+гетерогенной среды).
+Гетерогенная среда создается путем применения различных типов
+информационных технологий с целью ограничения возможностей
+потенциальных нарушителей по реализации угроз безопасности информации
+(по несанкционированному доступу к информации, внедрению вредоносного
+программного обеспечения (компьютерных вирусов) и по организации
+вторжений (проведению компьютерных атак)).
+Создание гетерогенной среды может достигаться в частности
+применением на серверах информационной системы UNIX-подобных
+операционных систем, отличных от операционных систем, применяемых на
+автоматизированных рабочих местах типа Windows и (или) применением в
+смежных сетевых сегментах информационной системы разных типов сетевого
+общесистемного, прикладного и (или) специального программного
+обеспечения.
+При создании гетерогенной среды необходимо учитывать повышение
+сложности в управлении конфигурацией информационной системы и
+возможность увеличения ошибок конфигурации и возможных уязвимостей.
+Требования к усилению ЗИС.25:
+Не установлены.
-Требования к реализации ЗИС.17: Оператором осуществляется
-разбиение информационной системы на сегменты (сегментирование
-информационной системы) и обеспечивается защита периметров сегментов
-информационной системы.
-Сегментирование информационной системы проводится с целью
-построения многоуровневой (эшелонированной) системы защиты информации
-путем построения сегментов на различных физических доменах или средах.
-Принципы сегментирования информационной системы определяются
-оператором с учетом функциональных и технологических особенностей
-процесса обработки информации и анализа угроз безопасности информации и
-должны заключаться в снижении вероятности реализации угроз и (или) их
-локализации в рамках одного сегмента.
-Сегментирование информационной системы также может проводиться с
-целью разделения информационной системы на сегменты, имеющие различные
-классы защищенности информационной системы.
-При сегментировании информационной системы должна быть обеспечена
-защита периметров сегментов информационной системы в соответствии с
-УПД.3 и ЗИС.23.
-Требования к усилению ЗИС.17:
+Содержание базовой меры ЗИС.25:
-) оператором осуществляется выделение сегментов информационной
-системы для размещения общедоступной (публичной) информации:
-а) путем выделения отдельных физических сетевых интерфейсов
-коммуникационного оборудования и (или) средств защиты периметра;
-б) путем физической изоляции сегментов информационной системы для
-размещения общедоступной (публичной) информации.
-Содержание базовой меры ЗИС.17:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.25
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.25
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Мера защиты
+===ЗИС.26 ИСПОЛЬЗОВАНИЕ ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ИМЕЮЩЕГО ВОЗМОЖНОСТЬ ФУНКЦИОНИРОВАНИЯ НА РАЗЛИЧНЫХ ТИПАХ ОПЕРАЦИОННЫХ СИСТЕМ ===
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.17 + +
-Усиление ЗИС.17
+Требования к реализации ЗИС.26: В информационной системе должно
+применяться прикладное и специальное программное обеспечение, имеющих
-ЗИС.18 ОБЕСПЕЧЕНИЕ ЗАГРУЗКИ И ИСПОЛНЕНИЯ
+возможность функционирования на различных типах операционных системах
-ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С МАШИННЫХ НОСИТЕЛЕЙ
+(независимое от вида операционной системы прикладное и специальное
-ИНФОРМАЦИИ, ДОСТУПНЫХ ТОЛЬКО ДЛЯ ЧТЕНИЯ, И КОНТРОЛЬ
+программное обеспечение).
-ЦЕЛОСТНОСТИ ДАННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
+Целью применения независимого от платформы операционной системы
+прикладного и специального программного обеспечения является обеспечение
-Требования к реализации ЗИС.18: В информационной системе
+бесперебойного (штатного) функционирования прикладного (специального)
-обеспечиваются:
+программного обеспечения путем перевода его под управление операционной
-выделение в составе операционной системы и прикладного обеспечения
+системы другого типа в случае реализации компьютерной атаки
-частей, немодифицируемых в процессе загрузки и выполнения, и размещение
+(возникновения инцидента) на основную операционную систему до
-их на машинных носителях информации, доступных только для чтения;
+восстановления безопасного функционирования информационной системы.
-загрузка и выполнение на средствах вычислительной техники,
+Применение независимого от типа (вида) операционной системы
-определяемых оператором, операционной системы с машинных носителей
+прикладного и специального программного обеспечения достигается в
-информации, доступных только для чтения;
+частности применением программного обеспечения, функционирование
-загрузка и выполнение на средствах вычислительной техники
+которого возможно как под управлением UNIX-подобных операционных
-прикладного программного обеспечения, определяемого оператором, с
+систем, так и под управлением операционных систем типа Windows или иных
-машинных носителей информации, доступных только для чтения.
+операционных систем.
-В качестве машинных носителей информации, доступных только для
+Перечень прикладного и специального программного обеспечения,
-чтения, рассматриваются, в том числе, оптические носители CD-R/DVD-R или
+имеющего возможность функционирования на различных типах операционных
-иные аппаратные машинные носители информации, возможность перезаписи
+системах, определяется оператором.
-на которые исключена технологически.
-Требования к усилению ЗИС.18:
+Требования к усилению ЗИС.26:
-) в сегментах (компонентах) информационной системы, определяемых
+Не установлены.
-оператором, применяются неперезаписываемые (защищенные от записи)
-машинные носители информации, устойчивые к сбоям в программном
-обеспечении информационной системы и отключению питания;
-) оператором должен осуществляться контроль целостности
-программного обеспечения, записанного на машинные носители информации,
-доступные только для чтения, в соответствии с ОЦЛ.1.
-Содержание базовой меры ЗИС.18:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.18
-Усиление ЗИС.18
+Содержание базовой меры ЗИС.26:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.26
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.26
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
+===ЗИС.27 СОЗДАНИЕ (ЭМУЛЯЦИЯ) ЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ ИЛИ ИХ КОМПОНЕНТОВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ОБНАРУЖЕНИЯ, РЕГИСТРАЦИИ И АНАЛИЗА ДЕЙСТВИЙ НАРУШИТЕЛЕЙ В ПРОЦЕССЕ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ===
-ЗИС.19 ИЗОЛЯЦИЯ ПРОЦЕССОВ (ВЫПОЛНЕНИЕ ПРОГРАММ) В
-ВЫДЕЛЕННОЙ ОБЛАСТИ ПАМЯТИ
-Требования к реализации ЗИС.19: В информационной системе должна
-осуществляться изоляция процессов (выполнение программ) в выделенной
-области памяти.
-Изоляция процессов (выполнение программ) в выделенной области
-памяти должна обеспечивать недоступность областей памяти, используемых
-процессами (программами) выполняемыми от имени одного пользователя
-(учетной записи), для процессов (программ), исполняемых от имени другого
-пользователя (учетной записи).
-Изоляция процессов (выполнение программ) в выделенной области
-памяти реализуется в средствах вычислительной техники, определенных
-оператором, и как минимум должна включать изоляцию процессов, связанных с
-выполнением функций безопасности средств защиты информации.
-Требования к усилению ЗИС.19:
-Не установлены.
-Содержание базовой меры ЗИС.19:
+Требования к реализации ЗИС.27: В информационной системе
+применяются специально созданные (эмулированные) ложные компоненты
+информационной системы или создаются ложные информационные системы,
+предназначенные для обнаружения, регистрации и анализа действий
+нарушителей в процессе реализации угроз безопасности информации.
+Ложные информационной системы или их компоненты должны
+выступать в качестве целей для нарушителя при реализации им компьютерной
+атаки и обеспечивать имитацию функционирования реальной информационной
+системы с целью обнаружения, регистрации и анализа действий этих
+нарушителей по реализации компьютерной атаки, а также принятия мер по
+предотвращению указанных угроз.
-Мера защиты
+Требования к усилению ЗИС.27:
-информации
+) в информационной системе применяются ложные компоненты
-Класс защищенности информационной системы
+информационной системы, выступающие в качестве цели для вредоносного
-3 2 1
+программного обеспечения (вируса) и провоцирующие преждевременное (до
-ЗИС.19
+воздействия на объект защиты) проявление его признаков.
-Усиление ЗИС.19
+Содержание базовой меры ЗИС.27:
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.27
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.27
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
+===ЗИС.28 ВОСПРОИЗВЕДЕНИЕ ЛОЖНЫХ И (ИЛИ) СКРЫТИЕ ИСТИННЫХ ОТДЕЛЬНЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ СЕГМЕНТОВ, ОБЕСПЕЧИВАЮЩЕЕ НАВЯЗЫВАНИЕ У НАРУШИТЕЛЯ ЛОЖНОГО ПРЕДСТАВЛЕНИЯ ОБ ИСТИННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИКАХ ИНФОРМАЦИОННОЙ СИСТЕМЫ ===
+Требования к реализации ЗИС.28: Оператором обеспечивается
+воспроизведение ложных и (или) скрытие истинных отдельных
+информационных технологий и (или) структурно-функциональных
+характеристик информационной системы или ее сегментов, обеспечивающее
+навязывание у нарушителя ложного представления об истинных
+информационных технологиях и (или) структурно-функциональных
+характеристиках информационной системы.
+Воспроизведение (визуализация) ложных и (или) скрытие (маскирование)
+истинных отдельных информационных технологий и (или) структурно-
+функциональных характеристик информационной системы или ее сегментов
+должны быть направлены на снижение возможности успешной реализации
+нарушителем угрозы безопасности информации (компьютерной атаки) путем
+введение в заблуждение нарушителя относительно возможных способов и
+средств компьютерных атак на информационную систему.
+При этом визуализация ложных и (или) маскирование истинных
+отдельных информационных технологий и (или) структурно-функциональных
+характеристик информационной системы позволяют снизить или исключить
+затраты на внедрение сложных средств защиты информации.
-ЗИС.20 ЗАЩИТА БЕСПРОВОДНЫХ СОЕДИНЕНИЙ, ПРИМЕНЯЕМЫХ
-В ИНФОРМАЦИОННОЙ СИСТЕМЕ
-Требования к реализации ЗИС.20: Оператором должна быть
+Требования к усилению ЗИС.28:
-обеспечена защита беспроводных соединений, применяемых в
+) оператором визуализация ложных информационных технологий и
-информационной системе. Защита беспроводных соединений включает:
+(или) структурно-функциональных характеристик осуществляется в
-ограничение на использование беспроводных соединений (802.11х Wi-Fi,
+произвольном порядке с периодичностью, определяемой оператором.
-.15.1 Bluetooth и иных беспроводных соединений) в соответствии с задачами
-(функциями) информационной системы, для решения которых такие
-соединения необходимы;
-предоставление доступа к параметрам (изменению параметров)
-настройки беспроводных соединений только администраторам
-информационной системы;
-обеспечение возможности реализации беспроводных соединений только
-через контролируемые интерфейсы (в том числе, путем применения средств
-защиты информации); 135
-регистрация и анализ событий, связанных с использованием
+Содержание базовой меры ЗИС.28:
-беспроводных соединений, в том числе для выявления попыток
-несанкционированного подключения к информационной системе через
-беспроводные соединения.
-При обеспечении защиты беспроводных соединений в зависимости от их
-типов должны реализовываться меры по идентификации и аутентификации в
-соответствии с ИАФ.1, ИАФ.2 и ИАФ.6.
-При невозможности исключения установления беспроводных соединений
-из-за пределов контролируемой зоны должны приниматься меры защищенного
-удаленного доступа в соответствии с УПД.13 и ЗИС.3.
-Порядок и правила применения беспроводных соединений
-регламентируются в организационно-распорядительных документах по защите
-информации оператора.
-Требования к усилению ЗИС.20:
+{| class="wikitable" width="600" border="1"
-) оператором для защиты беспроводных соединений в соответствии с
+ !width="10%" rowspan="2"|Мера защиты информации
-законодательством Российской Федерации должны применяться средства
+ !colspan="4" | Класс защищенности информационной системы
-криптографической защиты информации;
+ |-
-) в информационной системе должны применяться автоматизированные
+ !align="center" width="15%"|4
-программно-технические средства обнаружения, анализа и блокирования
+ !align="center" width="15%"|3
-несанкционированного использования беспроводных технологий и
+ !align="center" width="15%"|2
-подключений к информационной системе;
+ !align="center" width="15%"|1
-) в информационной системе должна быть исключена возможность
+ |-
-установления беспроводных соединений из-за пределов контролируемой зоны.
+ !width="40%" | ЗИС.28
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.28
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
-Содержание базовой меры ЗИС.20:
+===ЗИС.29 ПЕРЕВОД ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ УСТРОЙСТВ (КОМПОНЕНТОВ) В ЗАРАНЕЕ ОПРЕДЕЛЕННУЮ КОНФИГУРАЦИЮ, ОБЕСПЕЧИВАЮЩУЮ ЗАЩИТУ ИНФОРМАЦИИ, В СЛУЧАЕ ВОЗНИКНОВЕНИЯ ОТКАЗОВ (СБОЕВ) В СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ===
-Мера защиты
+Требования к реализации ЗИС.29: В информационной системе должен
-информации
+осуществляться перевод информационной системы или ее устройств
-Класс защищенности информационной системы
+(компонентов) в заранее определенную конфигурацию, обеспечивающую
-3 2 1
+защиту информации, в случае возникновении отказов (сбоев) в системе защиты
-ЗИС.20
+информации информационной системы.
- + + +
+Перевод информационной системы или ее устройств (компонентов) в
-Усиление ЗИС.20
+заранее определенную конфигурацию должен обеспечивать защиту
+информации при наступлении (возникновении) отказов (сбоев) в
+функционировании информационной системы или ее сегментов, которые могут
+привести к нарушению конфиденциальности, целостности и (или) доступности
-ЗИС.21 ИСКЛЮЧЕНИЕ ДОСТУПА ПОЛЬЗОВАТЕЛЯ К
+этой информации.
-ИНФОРМАЦИИ, ВОЗНИКШЕЙ В РЕЗУЛЬТАТЕ ДЕЙСТВИЙ
+Оператором должны быть определены типы отказов (сбоев) в системе
-ПРЕДЫДУЩЕГО ПОЛЬЗОВАТЕЛЯ ЧЕРЕЗ РЕЕСТРЫ, ОПЕРАТИВНУЮ
+защиты информации информационной системы, которые могут привести к
-ПАМЯТЬ, ВНЕШНИЕ ЗАПОМИНАЮЩИЕ УСТРОЙСТВА И ИНЫЕ ОБЩИЕ
+нарушению конфиденциальности, целостности и (или) доступности этой
-ДЛЯ ПОЛЬЗОВАТЕЛЕЙ РЕСУРСЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ
+информации, и при наступлении (возникновении) которых должен
+обеспечиваться перевод информационной системы или ее устройств
-Требования к реализации ЗИС.21: В информационной системе должен
+(компонентов) в заранее определенную конфигурацию.
-быть исключен доступ пользователя к информации, возникшей в результате
+Заранее определенная конфигурация информационной системы должна
-действий предыдущего пользователя через реестры, оперативную память, 136
+содержать информацию о состоянии информационной системы и ее системе
+защиты информации (системная информация, параметры настроек
-внешние запоминающие устройства, ресурсы файловой системы и иные общие
+программного обеспечения, включая средств защиты информации),
-для пользователей ресурсы информационной системы.
+достаточной для перезапуска информационной системы и обеспечения ее
-Исключение доступа к информации через общие для пользователей
+функционирования в штатном режиме, при котором также обеспечивается
-ресурсы должно обеспечивать запрет доступа текущему пользователю (учетной
+защита информации.
-записи) или текущему процессу к системным ресурсам (реестрам, оперативной
+Резервирование технических средств, программного обеспечения,
-памяти, внешним запоминающим устройствам) при их повторном
+каналов передачи информации, средств обеспечения функционирования
-использовании, в которых хранится информация другого (предыдущего)
+информационной системы осуществляется в соответствии с ОДТ.2, резервное
-пользователя.
+копирование информации – в соответствии с ОДТ.4.
+Контроль безотказного функционирования технических средств
+информационной системы осуществляется в соответствии с ОДТ.3.
+Обеспечение возможности восстановления информации с резервных
+машинных носителей информации (резервных копий) в течение
+установленного временного интервала осуществляется в соответствии с ОДТ.5.
-Требования к усилению ЗИС.21:
-) в информационной системе должна быть исключена возможность
-использоваться в качестве общих для пользователей ресурсов информационной
-системы, которые используются как интерфейс (память, однонаправленные
-интерфейсы (устройства) и сетевые карты) взаимодействия (связи) с системами,
-имеющими другие классы защищенности.
-Содержание базовой меры ЗИС.21:
+Требования к усилению ЗИС.29:
+Не установлены.
-Мера защиты
+Содержание базовой меры ЗИС.29:
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.21
- +
-Усиление ЗИС.21
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.29
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |-
+ !Усиление ЗИС.29
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
+===ЗИС.30 ЗАЩИТА МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ===
-ЗИС.22 ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТ УГРОЗ
+Требования к реализации ЗИС.30: Оператором должна осуществляться
-БЕЗОПАСНОСТИ ИНФОРМАЦИИ, НАПРАВЛЕННЫХ НА ОТКАЗ В
+защита применяемых в информационной системе мобильных технических
-ОБСЛУЖИВАНИИ ЭТОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
+средств.
+Защита мобильных технических средств включает:
-Требования к реализации ЗИС.22: В информационной системе должна
+реализация в зависимости от мобильного технического средства (типа
-обеспечиваться защита от угроз безопасности информации, направленных на
+мобильного технического средства) мер по идентификации и аутентификации в
-отказ в обслуживании этой системы.
+соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2,
-Оператором должен быть определен перечень угроз (типов угроз)
+УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с
-безопасности информации, направленных на отказ в обслуживании,
+ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1,
-являющихся актуальными для его информационной системы.
+ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с
-Защита от угроз безопасности информации, направленных на отказ в
+РСБ.1, РСБ.2, РСБ.3 и РСБ.5, антивирусной защитой в соответствии с АВЗ.1 и
-обслуживании, осуществляется посредством реализации в информационной
+АВЗ.2, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и
-системе мер защиты информационной системы в соответствии с ЗИС.23 и
+АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1.
-повышенными характеристиками производительности телекоммуникационного
+очистка (удаление) информации в мобильном техническом средстве
-оборудования и каналов передачи совместно с резервированием информации и
+после завершения сеанса удаленного доступа к защищаемой информации или
-технических средств, программного обеспечения, каналов передачи
+принятие иных мер, исключающих несанкционированный доступ к хранимой
-информации в соответствии с ОДТ.2, ОДТ.4 и ОДТ.5.
+защищаемой информации;
+уничтожение съемных носителей информации, которые не подлежат
+очистке;
+выборочные проверки мобильных технических средств (на предмет их
-Требования к усилению ЗИС.22:
+наличия) и хранящейся на них информации (например, на предмет отсутствия
-) в информационной системе обеспечивается ограничение возможностей
+информации, не соответствующей маркировке носителя информации).
-пользователей по реализации угроз безопасности информации, направленных
+К мобильным техническим средствам относятся съемные носители
-на отказ в обслуживании, в отношении отдельных сегментов информационной
+информации (флэш-накопители, внешние накопители на жестких дисках и
-системы и других информационных систем;
+иные носители), а также портативные вычислительные устройства и устройства
-) в информационной системе обеспечивается управление
+связи с возможностью обработки информации (например, ноутбуки, нетбуки,
-характеристиками производительности телекоммуникационного оборудования
+планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие
-и каналов передачи информации в зависимости от интенсивности реализации
+устройства и иные средства).
-угроз безопасности информации направленных на отказ в обслуживании;
+запрет возможности автоматического запуска (без команды пользователя)
-) оператором в установленном порядке обеспечивается использование
+в информационной системе программного обеспечения на мобильных
-услуг сторонних организаций (провайдеров) по «очистке» входящего трафика
+технических средствах.
-(для сброса потока пакетов, используемых нарушителем для реализации угроз
-безопасности, направленных на отказ в обслуживании этой информационной
-системы);
-) оператором обеспечивается применение средств защиты информации,
-предназначенных для нейтрализации угроз безопасности, направленных на
-отказ в обслуживании.
-Содержание базовой меры ЗИС.22:
+Требования к усилению ЗИС.30:
+) оператором должны применяться средства ограничения доступа к
-Мера защиты
+информации на съемных машинных носителях информации с использованием
-информации
+специализированных съемных носителей информации и средств контроля
-Класс защищенности информационной системы
+съемных носителей информации в соответствии с учетом ЗНИ.4;
-3 2 1
+) оператором должна обеспечиваться очистка (удаление) информации в
-ЗИС.22
+мобильном техническом средстве:
- + +
+а) при превышении допустимого числа неуспешных попыток входа в
-Усиление ЗИС.22
+информационную систему под конкретной учетной записью (доступа к
+информационной системе), осуществляемых с мобильного устройства;
+б) при превышении допустимого интервала времени с начала
+осуществления попыток входа в информационную систему под конкретной
-ЗИС.23 ЗАЩИТА ПЕРИМЕТРА (ФИЗИЧЕСКИХ И (ИЛИ)
+учетной записью, осуществляемых с мобильного устройства;
-ЛОГИЧЕСКИХ ГРАНИЦ) ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРИ ЕЕ
+) оператором должно обеспечиваться применение технических средств
-ВЗАИМОДЕЙСТВИИ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ И
+защиты периметра уровня узла, устанавливаемых на портативные
-ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫМИ СЕТЯМИ
+вычислительные устройства;
+) оператором должно обеспечиваться использование радиометок (RFID-
-Требования к реализации ЗИС.23: В информационной системе должна
+меток) для контроля вноса или выноса мобильных технических устройств из
-осуществляться защита периметра (физических и (или) логических границ)
+помещения и (или) контролируемой зоны в целом;
-информационной системы при ее взаимодействии с иными информационными
+) оператором обеспечивается шифрование хранимой на носителе
-системами и информационно-телекоммуникационными сетями,
+мобильного технического средства информации с применением
-предусматривающая:
+криптографических методов защиты информации в соответствии с
-управление (контроль) входящими в информационную систему и
+законодательством Российской Федерации.
-исходящими из информационной системы информационными потоками на
-физической и (или) логической границе информационной системы (сегментах
-информационных систем);
-обеспечение взаимодействия информационной системы и (или) ее
-сегментов с иными информационными системами и сетями только через 138
-сетевые интерфейсы, которые обеспечивают управление (контроль)
-информационными потоками с использованием средств защиты информации
-(управляемые (контролируемые) сетевые интерфейсы), установленных на
-физическом и (или) логическом периметре информационной системы или ее
-отдельных сегментов (маршрутизаторов, межсетевых экранов, коммутаторов,
-прокси-серверов, шлюзов безопасности, средств построения виртуальных
-частных сетей и иных средств защиты информации).
-Требования к усилению ЗИС.23:
-) в информационной системе должна быть обеспечена возможность
-размещения публичных общедоступных ресурсов (например, общедоступный
-веб-сервер), взаимодействующих с информационной системой через отдельные
-физические управляемые (контролируемые) сетевые интерфейсы;
-) в информационной системе должно быть обеспечено предоставление
-доступа во внутренние сегменты информационной системы
-(демилитаризованную зону) из внешних информационных систем и сетей
-только через средства защиты периметра (за исключением внутренних
-сегментов, которые специально выделены для такого взаимодействия);
-) оператор должен ограничить количество точек доступа в
-информационную систему из внешних информационных систем и сетей до
-минимально необходимого для решения задач и обеспечивающего постоянный
-и всесторонний контроль входящих и исходящих информационных потоков;
-) оператором в информационной системе:
-а) должен применяться отдельный физический управляемый
-(контролируемый) сетевой интерфейс для каждого внешнего
-телекоммуникационного сервиса;
-б) должны быть установлены правила управления информационными
-потоками для каждого физического управляемого (контролируемого) сетевого
-интерфейса;
-в) должна обеспечиваться защита информации при ее передаче по
-каналам связи, имеющим выход за пределы контролируемой зоны (при
-необходимости), путем применения организационно-технических мер или
-криптографических методов в соответствии с законодательством Российской
-Федерации;
-г) должно обеспечиваться обоснование и документирование всех
-исключений из правил управления информационными потоками, связанных с
-решением определенных задач в информационной системе, и определение
-продолжительности потребности таких исключений;
-д) должно обеспечиваться удаление введенных исключений из правил
-управления информационными потоками после истечения установленного
-времени;
-) в информационной системе должен быть исключен выход (вход) через
-управляемые (контролируемые) сетевые интерфейсы информационных потоков
-по умолчанию (реализация принципа «запрещено все, что не разрешено»); 139
-) оператором обеспечивается запрет передачи информации за пределы
-периметра информационной системы при отказе (сбое) функционирования
-средств защиты периметра;
-) в информационной системе должна быть исключена возможность
-информационного взаимодействия мобильных и иных технических средств
-(устройств) с внешними информационными системами и информационно-
-телекоммуникационным сетям в процессе их удаленного подключения к
-защищаемой информационной системе с использованием средств построения
-виртуальных частных сетей;
-) в информационной системе обеспечивается сетевое соединение
-внутренних сегментов информационной системы (отдельных средств
-вычислительных техники), определенных оператором, с установленными им
-внешними информационными системами и сетями через прокси-серверы,
-размещенные совместно со средствами защиты периметра, обеспечивающие
-логирование (отслеживание) TCP-сессий, блокирование конкретных URL,
-доменных имен, IP-адресов и другим параметрам запросов к внешним
-информационным ресурсам;
-) в информационной системе исключается возможность выхода через
-управляемые (контролируемые) сетевые интерфейсы информационных
-потоков, содержащих вредоносное программное обеспечение (вирусы) или
-признаки компьютерных атак представляющих угрозу внешним
-информационным системам и сетям;
-) в информационной системе исключается возможность утечки
-информации через управляемые (контролируемые) сетевые интерфейсы путем
-точного соблюдения форматов протоколов, контроля использования
-стеганографии, отключения внешних сетевых интерфейсов, разборки и сборки
-пакетов данных, контроля отклонения типа и объема информационного потока
-от установленного профиля;
-) в информационной системе должна быть обеспечена проверка адреса
-источника информационного потока и адреса получателя информационного
-потока с целью подтверждения того, что информационное взаимодействие
-между этими адресами разрешено;
-) в информационной системе обеспечивается защита периметра с
-использованием шлюза безопасности на уровне узлов (хостов) для серверов,
-рабочих станций и мобильных технических средств;
-) в информационной системе обеспечивается сокрытие сетевых адресов
-используемых для управления средствами защиты периметра, информация о
-которых может быть получена через технологии определения устройств в сети
-(в частности систему доменных имен);
-) оператором обеспечивается отделение через отдельный физический
-управляемый (контролируемый) сетевой интерфейс функций безопасности и
-управления (администрирования) информационной системы, определенных
-оператором, от других (внутренних) компонентов информационной системы;
-) оператором обеспечивается исключение возможности
-несанкционированного физического сетевого подключения к управляемым 140
-(контролируемым) сетевым интерфейсам (сетевым интерфейсам средств
-защиты периметра);
-) в информационной системе для контроля (анализа) защищенности
-доступ администраторов обеспечивается через выделенный отдельный
-физический управляемый (контролируемый) сетевой интерфейс;
-) оператором применяются автоматизированные средства,
-обеспечивающие строгое соблюдение формата сетевых протоколов на уровне
-приложений (проверка пакетов на предмет соблюдения спецификаций
-протокола на уровне приложений);
-) в информационной системе обеспечивается корректное завершение ее
-функционирования в случае нарушения функционирования (сбоя, отказов)
-средств защиты периметра;
-) в информационной системе при необходимости предоставлять доступ
-к ресурсам информационной системы должна быть организована
-демилитаризованная зона, содержащая доступные ресурсы.
-) в информационной системе должна быть обеспечена возможность
-размещения публичных общедоступных ресурсов (например, общедоступный
-веб-сервер), взаимодействующих с информационной системой через отдельные
-физические управляемые (контролируемые) сетевые интерфейсы.
-Содержание базовой меры ЗИС.23:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.23
- + +
-Усиление ЗИС.23
-, 2, 3, 4а, 4б,
-в, 5
-, 2, 3, 4а,
-б, 4в, 4г,
-д, 5, 6, 7
-ЗИС.24 ПРЕКРАЩЕНИЕ СЕТЕВЫХ СОЕДИНЕНИЙ ПО ИХ
-ЗАВЕРШЕНИИ ИЛИ ПО ИСТЕЧЕНИИ ЗАДАННОГО ОПЕРАТОРОМ
-ВРЕМЕННОГО ИНТЕРВАЛА НЕАКТИВНОСТИ СЕТЕВОГО СОЕДИНЕНИЯ
-Требования к реализации ЗИС.24: В информационной системе должно
-осуществляться завершение сетевых соединений (например, открепление пары
-порт/адрес (ТСР/IP) по их завершении и (или) по истечении заданного
-оператором временного интервала неактивности сетевого соединения.
-Требования к усилению ЗИС.24:
-Не установлены.
-Содержание базовой меры ЗИС.24:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.24
- + +
-Усиление ЗИС.24
-ЗИС.25 ИСПОЛЬЗОВАНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ИЛИ
-ЕЕ СЕГМЕНТАХ РАЗЛИЧНЫХ ТИПОВ ОБЩЕСИСТЕМНОГО,
-ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
-(СОЗДАНИЕ ГЕТЕРОГЕННОЙ СРЕДЫ)
-Требования к реализации ЗИС.25: Проектировщиком при создании
-информационной должны применяться различные типы общесистемного,
-прикладного и специального программного обеспечения (создание
-гетерогенной среды).
-Гетерогенная среда создается путем применения различных типов
-информационных технологий с целью ограничения возможностей
-потенциальных нарушителей по реализации угроз безопасности информации
-(по несанкционированному доступу к информации, внедрению вредоносного
-программного обеспечения (компьютерных вирусов) и по организации
-вторжений (проведению компьютерных атак)).
-Создание гетерогенной среды может достигаться в частности
-применением на серверах информационной системы UNIX-подобных
-операционных систем, отличных от операционных систем, применяемых на
-автоматизированных рабочих местах типа Windows и (или) применением в
-смежных сетевых сегментах информационной системы разных типов сетевого
-общесистемного, прикладного и (или) специального программного
-обеспечения.
-При создании гетерогенной среды необходимо учитывать повышение
-сложности в управлении конфигурацией информационной системы и
-возможность увеличения ошибок конфигурации и возможных уязвимостей.
-Требования к усилению ЗИС.25:
-Не установлены.
-Содержание базовой меры ЗИС.25:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.25
-Усиление ЗИС.25
-ЗИС.26 ИСПОЛЬЗОВАНИЕ ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО
-ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ИМЕЮЩЕГО ВОЗМОЖНОСТЬ
-ФУНКЦИОНИРОВАНИЯ НА РАЗЛИЧНЫХ ТИПАХ ОПЕРАЦИОННЫХ
-СИСТЕМ
-Требования к реализации ЗИС.26: В информационной системе должно
-применяться прикладное и специальное программное обеспечение, имеющих
-возможность функционирования на различных типах операционных системах
-(независимое от вида операционной системы прикладное и специальное
-программное обеспечение).
-Целью применения независимого от платформы операционной системы
-прикладного и специального программного обеспечения является обеспечение
-бесперебойного (штатного) функционирования прикладного (специального)
-программного обеспечения путем перевода его под управление операционной
-системы другого типа в случае реализации компьютерной атаки
-(возникновения инцидента) на основную операционную систему до
-восстановления безопасного функционирования информационной системы.
-Применение независимого от типа (вида) операционной системы
-прикладного и специального программного обеспечения достигается в
-частности применением программного обеспечения, функционирование
-которого возможно как под управлением UNIX-подобных операционных
-систем, так и под управлением операционных систем типа Windows или иных
-операционных систем.
-Перечень прикладного и специального программного обеспечения,
-имеющего возможность функционирования на различных типах операционных
-системах, определяется оператором.
-Требования к усилению ЗИС.26:
-Не установлены.
-Содержание базовой меры ЗИС.26:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.26
-Усиление ЗИС.26
-ЗИС.27 СОЗДАНИЕ (ЭМУЛЯЦИЯ) ЛОЖНЫХ ИНФОРМАЦИОННЫХ
-СИСТЕМ ИЛИ ИХ КОМПОНЕНТОВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ
-ОБНАРУЖЕНИЯ, РЕГИСТРАЦИИ И АНАЛИЗА ДЕЙСТВИЙ
-НАРУШИТЕЛЕЙ В ПРОЦЕССЕ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ
-ИНФОРМАЦИИ
-Требования к реализации ЗИС.27: В информационной системе
-применяются специально созданные (эмулированные) ложные компоненты
-информационной системы или создаются ложные информационные системы,
-предназначенные для обнаружения, регистрации и анализа действий
-нарушителей в процессе реализации угроз безопасности информации.
-Ложные информационной системы или их компоненты должны
-выступать в качестве целей для нарушителя при реализации им компьютерной
-атаки и обеспечивать имитацию функционирования реальной информационной
-системы с целью обнаружения, регистрации и анализа действий этих
-нарушителей по реализации компьютерной атаки, а также принятия мер по
-предотвращению указанных угроз.
-Требования к усилению ЗИС.27:
-) в информационной системе применяются ложные компоненты
-информационной системы, выступающие в качестве цели для вредоносного
-программного обеспечения (вируса) и провоцирующие преждевременное (до
-воздействия на объект защиты) проявление его признаков.
-Содержание базовой меры ЗИС.27:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.27
-Усиление ЗИС.27
-ЗИС.28 ВОСПРОИЗВЕДЕНИЕ ЛОЖНЫХ И (ИЛИ) СКРЫТИЕ
-ИСТИННЫХ ОТДЕЛЬНЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И (ИЛИ)
-СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК
-ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ СЕГМЕНТОВ,
-ОБЕСПЕЧИВАЮЩЕЕ НАВЯЗЫВАНИЕ У НАРУШИТЕЛЯ ЛОЖНОГО
-ПРЕДСТАВЛЕНИЯ ОБ ИСТИННЫХ ИНФОРМАЦИОННЫХ
-ТЕХНОЛОГИЯХ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ
-ХАРАКТЕРИСТИКАХ ИНФОРМАЦИОННОЙ СИСТЕМЫ
-Требования к реализации ЗИС.28: Оператором обеспечивается
-воспроизведение ложных и (или) скрытие истинных отдельных
-информационных технологий и (или) структурно-функциональных
-характеристик информационной системы или ее сегментов, обеспечивающее
-навязывание у нарушителя ложного представления об истинных
-информационных технологиях и (или) структурно-функциональных
-характеристиках информационной системы.
-Воспроизведение (визуализация) ложных и (или) скрытие (маскирование)
-истинных отдельных информационных технологий и (или) структурно-
-функциональных характеристик информационной системы или ее сегментов
-должны быть направлены на снижение возможности успешной реализации
-нарушителем угрозы безопасности информации (компьютерной атаки) путем
-введение в заблуждение нарушителя относительно возможных способов и
-средств компьютерных атак на информационную систему.
-При этом визуализация ложных и (или) маскирование истинных
-отдельных информационных технологий и (или) структурно-функциональных
-характеристик информационной системы позволяют снизить или исключить
-затраты на внедрение сложных средств защиты информации.
-Требования к усилению ЗИС.28:
-) оператором визуализация ложных информационных технологий и
-(или) структурно-функциональных характеристик осуществляется в
-произвольном порядке с периодичностью, определяемой оператором.
-Содержание базовой меры ЗИС.28:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.28
-Усиление ЗИС.28
-ЗИС.29 ПЕРЕВОД ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ
-УСТРОЙСТВ (КОМПОНЕНТОВ) В ЗАРАНЕЕ ОПРЕДЕЛЕННУЮ
-КОНФИГУРАЦИЮ, ОБЕСПЕЧИВАЮЩУЮ ЗАЩИТУ ИНФОРМАЦИИ, В
-СЛУЧАЕ ВОЗНИКНОВЕНИЯ ОТКАЗОВ (СБОЕВ) В СИСТЕМЕ ЗАЩИТЫ
-ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
-Требования к реализации ЗИС.29: В информационной системе должен
-осуществляться перевод информационной системы или ее устройств
-(компонентов) в заранее определенную конфигурацию, обеспечивающую
-защиту информации, в случае возникновении отказов (сбоев) в системе защиты
-информации информационной системы.
-Перевод информационной системы или ее устройств (компонентов) в
-заранее определенную конфигурацию должен обеспечивать защиту
-информации при наступлении (возникновении) отказов (сбоев) в
-функционировании информационной системы или ее сегментов, которые могут
-привести к нарушению конфиденциальности, целостности и (или) доступности
-этой информации.
-Оператором должны быть определены типы отказов (сбоев) в системе
-защиты информации информационной системы, которые могут привести к
-нарушению конфиденциальности, целостности и (или) доступности этой
-информации, и при наступлении (возникновении) которых должен
-обеспечиваться перевод информационной системы или ее устройств
-(компонентов) в заранее определенную конфигурацию.
-Заранее определенная конфигурация информационной системы должна
-содержать информацию о состоянии информационной системы и ее системе
-защиты информации (системная информация, параметры настроек
-программного обеспечения, включая средств защиты информации),
-достаточной для перезапуска информационной системы и обеспечения ее
-функционирования в штатном режиме, при котором также обеспечивается
-защита информации.
-Резервирование технических средств, программного обеспечения,
-каналов передачи информации, средств обеспечения функционирования
-информационной системы осуществляется в соответствии с ОДТ.2, резервное
-копирование информации – в соответствии с ОДТ.4.
-Контроль безотказного функционирования технических средств
-информационной системы осуществляется в соответствии с ОДТ.3.
-Обеспечение возможности восстановления информации с резервных
-машинных носителей информации (резервных копий) в течение
-установленного временного интервала осуществляется в соответствии с ОДТ.5.
-Требования к усилению ЗИС.29:
-Не установлены.
-Содержание базовой меры ЗИС.29:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.29
-Усиление ЗИС.29
-ЗИС.30 ЗАЩИТА МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ,
-ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
-Требования к реализации ЗИС.30: Оператором должна осуществляться
-защита применяемых в информационной системе мобильных технических
-средств.
-Защита мобильных технических средств включает:
-реализация в зависимости от мобильного технического средства (типа
-мобильного технического средства) мер по идентификации и аутентификации в
-соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2,
-УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с
-ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1,
-ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с
-РСБ.1, РСБ.2, РСБ.3 и РСБ.5, антивирусной защитой в соответствии с АВЗ.1 и
-АВЗ.2, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и
-АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1.
-очистка (удаление) информации в мобильном техническом средстве
-после завершения сеанса удаленного доступа к защищаемой информации или
-принятие иных мер, исключающих несанкционированный доступ к хранимой
-защищаемой информации;
-уничтожение съемных носителей информации, которые не подлежат
-очистке;
-выборочные проверки мобильных технических средств (на предмет их
-наличия) и хранящейся на них информации (например, на предмет отсутствия
-информации, не соответствующей маркировке носителя информации).
-К мобильным техническим средствам относятся съемные носители
-информации (флэш-накопители, внешние накопители на жестких дисках и
-иные носители), а также портативные вычислительные устройства и устройства
-связи с возможностью обработки информации (например, ноутбуки, нетбуки,
-планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие
-устройства и иные средства).
-запрет возможности автоматического запуска (без команды пользователя)
-в информационной системе программного обеспечения на мобильных
-технических средствах.
-Требования к усилению ЗИС.30:
-) оператором должны применяться средства ограничения доступа к
-информации на съемных машинных носителях информации с использованием
-специализированных съемных носителей информации и средств контроля
-съемных носителей информации в соответствии с учетом ЗНИ.4;
-) оператором должна обеспечиваться очистка (удаление) информации в
-мобильном техническом средстве:
-а) при превышении допустимого числа неуспешных попыток входа в
-информационную систему под конкретной учетной записью (доступа к
-информационной системе), осуществляемых с мобильного устройства;
-б) при превышении допустимого интервала времени с начала
-осуществления попыток входа в информационную систему под конкретной
-учетной записью, осуществляемых с мобильного устройства;
-) оператором должно обеспечиваться применение технических средств
-защиты периметра уровня узла, устанавливаемых на портативные
-вычислительные устройства;
-) оператором должно обеспечиваться использование радиометок (RFID-
-меток) для контроля вноса или выноса мобильных технических устройств из
-помещения и (или) контролируемой зоны в целом;
-) оператором обеспечивается шифрование хранимой на носителе
-мобильного технического средства информации с применением
-криптографических методов защиты информации в соответствии с
-законодательством Российской Федерации.
-Содержание базовой меры ЗИС.30:
-Мера защиты
-информации
-Класс защищенности информационной системы
-3 2 1
-ЗИС.30
- + + +
-Усиление ЗИС.30
+{| class="wikitable" width="600" border="1"
+ !width="10%" rowspan="2"|Мера защиты информации
+ !colspan="4" | Класс защищенности информационной системы
+ |-
+ !align="center" width="15%"|4
+ !align="center" width="15%"|3
+ !align="center" width="15%"|2
+ !align="center" width="15%"|1
+ |-
+ !width="40%" | ЗИС.30
+ |align="center" |
+ |align="center" | +
+ |align="center" | +
+ |align="center" | +
+ |-
+ !Усиление ЗИС.30
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |align="center" |
+ |}
 =Приложение № 1 к Мерам защиты информации в государственных информационных системах =

Методы защиты информации в государственных информационных системах: различия между версиями

Текущая версия на 14:14, 22 января 2014

1. ОБЩИЕ ПОЛОЖЕНИЯ

2. ВЫБОР МЕР ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ РЕАЛИЗАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ В РАМКАХ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

2.1. Классификация информационной системы по требованиям защиты информации

2.2 Определение угроз безопасности информации в информационной системе

2.3 Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации

3. СОДЕРЖАНИЕ МЕР ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

3.1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА (ИАФ)

ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА

ИАФ.2 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВ, В ТОМ ЧИСЛЕ СТАЦИОНАРНЫХ, МОБИЛЬНЫХ И ПОРТАТИВНЫХ

ИАФ.3 УПРАВЛЕНИЕ ИДЕНТИФИКАТОРАМИ, В ТОМ ЧИСЛЕ СОЗДАНИЕ, ПРИСВОЕНИЕ, УНИЧТОЖЕНИЕ ИДЕНТИФИКАТОРОВ

ИАФ.5 ЗАЩИТА ОБРАТНОЙ СВЯЗИ ПРИ ВВОДЕ АУТЕНТИФИКАЦИОННОЙ ИНФОРМАЦИИ

ИАФ.6 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, НЕ ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА (ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ)

3.2. УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА (УПД)

УПД.1 УПРАВЛЕНИЕ (ЗАВЕДЕНИЕ, АКТИВАЦИЯ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ) УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ, В ТОМ ЧИСЛЕ ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ

УПД.4 РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ (РОЛЕЙ) ПОЛЬЗОВАТЕЛЕЙ, АДМИНИСТРАТОРОВ И ЛИЦ, ОБЕСПЕЧИВАЮЩИХ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ

УПД.5 НАЗНАЧЕНИЕ МИНИМАЛЬНО НЕОБХОДИМЫХ ПРАВ И ПРИВИЛЕГИЙ ПОЛЬЗОВАТЕЛЯМ, АДМИНИСТРАТОРАМ И ЛИЦАМ, ОБЕСПЕЧИВАЮЩИМ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ

УПД.6 ОГРАНИЧЕНИЕ НЕУСПЕШНЫХ ПОПЫТОК ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ (ДОСТУПА К ИНФОРМАЦИОННОЙ СИСТЕМЕ)

УПД.8 ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЯ ПОСЛЕ УСПЕШНОГО ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ О ЕГО ПРЕДЫДУЩЕМ ВХОДЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ

УПД.9 ОГРАНИЧЕНИЕ ЧИСЛА ПАРАЛЛЕЛЬНЫХ СЕАНСОВ ДОСТУПА ДЛЯ КАЖДОЙ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ

УПД.10 БЛОКИРОВАНИЕ СЕАНСА ДОСТУПА В ИНФОРМАЦИОННУЮ СИСТЕМУ ПОСЛЕ УСТАНОВЛЕННОГО ВРЕМЕНИ БЕЗДЕЙСТВИЯ (НЕАКТИВНОСТИ) ПОЛЬЗОВАТЕЛЯ ИЛИ ПО ЕГО ЗАПРОСУ

УПД.11 РАЗРЕШЕНИЕ (ЗАПРЕТ) ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ, РАЗРЕШЕННЫХ ДО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ

УПД.12 ПОДДЕРЖКА И СОХРАНЕНИЕ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ В ПРОЦЕССЕ ЕЕ ХРАНЕНИЯ И ОБРАБОТКИ

УПД.13 РЕАЛИЗАЦИЯ ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА ЧЕРЕЗ ВНЕШНИЕ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫЕ СЕТИ

УПД.14 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ТЕХНОЛОГИЙ БЕСПРОВОДНОГО ДОСТУПА

УПД.15 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ

УПД.16 УПРАВЛЕНИЕ ВЗАИМОДЕЙСТВИЕМ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ СТОРОННИХ ОРГАНИЗАЦИЙ (ВНЕШНИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ)

УПД.17 ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

3.3 ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ (ОПС)

3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ)

3.5. РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ (РСБ)

3.5.1. РСБ.1 ОПРЕДЕЛЕНИЕ СОБЫТИЙ БЕЗОПАСНОСТИ, ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ, И СРОКОВ ИХ ХРАНЕНИЯ

3.6. АНТИВИРУСНАЯ ЗАЩИТА (АВЗ)

АВЗ.1 РЕАЛИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ

АВЗ.2 ОБНОВЛЕНИЕ БАЗЫ ДАННЫХ ПРИЗНАКОВ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ (ВИРУСОВ)

3.7. ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ (СОВ)

СОВ.1 ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ

СОВ.2 ОБНОВЛЕНИЕ БАЗЫ РЕШАЮЩИХ ПРАВИЛ

3.8. КОНТРОЛЬ (АНАЛИЗ) ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ (АНЗ)

АНЗ.1 ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

АНЗ.2 КОНТРОЛЬ УСТАНОВКИ ОБНОВЛЕНИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

АНЗ.3 КОНТРОЛЬ РАБОТОСПОСОБНОСТИ, ПАРАМЕТРОВ НАСТРОЙКИ И ПРАВИЛЬНОСТИ ФУНКЦИОНИРОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

АНЗ.4 КОНТРОЛЬ СОСТАВА ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

3.9. ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ИНФОРМАЦИИ (ОЦЛ)

3.10. ОБЕСПЕЧЕНИЕ ДОСТУПНОСТИ ИНФОРМАЦИИ (ОДТ)

3.11. ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ (ЗСВ)

3.12. ЗАЩИТА ТЕХНИЧЕСКИХ СРЕДСТВ (ЗТС)

3.13. ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ, ЕЕ СРЕДСТВ И СИСТЕМ СВЯЗИ И ПЕРЕДАЧИ ДАННЫХ (ЗИС)

ЗИС.2 ПРЕДОТВРАЩЕНИЕ ЗАДЕРЖКИ ИЛИ ПРЕРЫВАНИЯ ВЫПОЛНЕНИЯ ПРОЦЕССОВ С ВЫСОКИМ ПРИОРИТЕТОМ СО СТОРОНЫ ПРОЦЕССОВ С НИЗКИМ ПРИОРИТЕТОМ

ЗИС.11 ОБЕСПЕЧЕНИЕ ПОДЛИННОСТИ СЕТЕВЫХ СОЕДИНЕНИЙ (СЕАНСОВ ВЗАИМОДЕЙСТВИЯ), В ТОМ ЧИСЛЕ ДЛЯ ЗАЩИТЫ ОТ ПОДМЕНЫ СЕТЕВЫХ УСТРОЙСТВ И СЕРВИСОВ

ЗИС.12 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ ПОЛЬЗОВАТЕЛЕМ ФАКТА ОТПРАВКИ ИНФОРМАЦИИ ДРУГОМУ ПОЛЬЗОВАТЕЛЮ

ЗИС.13 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ ПОЛЬЗОВАТЕЛЕМ ФАКТА ПОЛУЧЕНИЯ ИНФОРМАЦИИ ОТ ДРУГОГО ПОЛЬЗОВАТЕЛЯ

ЗИС.14 ИСПОЛЬЗОВАНИЕ УСТРОЙСТВ ТЕРМИНАЛЬНОГО ДОСТУПА ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ

ЗИС.17 РАЗБИЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА СЕГМЕНТЫ (СЕГМЕНТИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ) И ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРИМЕТРОВ СЕГМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ

ЗИС.19 ИЗОЛЯЦИЯ ПРОЦЕССОВ (ВЫПОЛНЕНИЕ ПРОГРАММ) В ВЫДЕЛЕННОЙ ОБЛАСТИ ПАМЯТИ

ЗИС.20 ЗАЩИТА БЕСПРОВОДНЫХ СОЕДИНЕНИЙ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

ЗИС.22 ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, НАПРАВЛЕННЫХ НА ОТКАЗ В ОБСЛУЖИВАНИИ ЭТОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

ЗИС.24 ПРЕКРАЩЕНИЕ СЕТЕВЫХ СОЕДИНЕНИЙ ПО ИХ ЗАВЕРШЕНИИ ИЛИ ПО ИСТЕЧЕНИИ ЗАДАННОГО ОПЕРАТОРОМ ВРЕМЕННОГО ИНТЕРВАЛА НЕАКТИВНОСТИ СЕТЕВОГО СОЕДИНЕНИЯ

ЗИС.26 ИСПОЛЬЗОВАНИЕ ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ИМЕЮЩЕГО ВОЗМОЖНОСТЬ ФУНКЦИОНИРОВАНИЯ НА РАЗЛИЧНЫХ ТИПАХ ОПЕРАЦИОННЫХ СИСТЕМ

ЗИС.30 ЗАЩИТА МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Приложение № 1 к Мерам защиты информации в государственных информационных системах

Навигация

Поиск